Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Cosmos DB no Microsoft Fabric depende principalmente da autenticação do Microsoft Entra ID e das funções internas do plano de dados para gerenciar a autenticação e a autorização. Neste guia, você configura funções embutidas do plano de dados para um banco de dados Cosmos DB no Fabric. Você pode configurar o acesso ao seu Cosmos DB usando funções de espaço de trabalho nos controles de acesso do Microsoft Fabric.
Os controles de acesso em dois níveis diferentes funcionam juntos. Por exemplo, para se conectar a um banco de dados, um usuário deve ter pelo menos a permissão de leitura no item de banco de dados do Fabric.
Controles de acesso
No Fabric, você controla o acesso usando funções de workspace do Fabric. As funções de workspace do Fabric gerenciam quem pode fazer o que em um workspace do Microsoft Fabric.
Primeiro, o Cosmos DB no Fabric tem permissões de nível de item com três funções bem definidas:
| Capacidade | |
|---|---|
| Leia | Conectar-se ao banco de dados, ler itens, consultar itens, ler feed de alterações, listar contêineres, ler a taxa de transferência e ler metadados |
| ReadAll | Mesma funcionalidade de Leitura e, além disso, ler dados espelhados diretamente de arquivos do OneLake |
| Escrever | Mesma funcionalidade do ReadAll e, além disso, criar contêiner, excluir contêiner, criar item, excluir item, modificar item |
As funções do workspace no Fabric se traduzem nas seguintes permissões de nível de item para itens no Cosmos DB do Fabric:
| Administrador | Membro | Contribuidor | Visualizador | |
|---|---|---|---|---|
| Leia | ✅ Sim | ✅ Sim | ✅ Sim | ✅ Sim |
| ReadAll | ✅ Sim | ✅ Sim | ✅ Sim | ✅ Sim |
| Escrever | ✅ Sim | ✅ Sim | ✅ Sim | ✖️ Não |
Sob outra perspectiva, esta tabela identifica as capacidades comuns que seus usuários podem exigir com o banco de dados Cosmos DB e as mapeia para a função de workspace correta.
| Administrador | Membro | Contribuidor | Visualizador | |
|---|---|---|---|---|
| Acesso administrativo total e acesso total aos dados | ✅ Sim | ✅ Sim | ✅ Sim | ✖️ Não |
| Leia dados e metadados | ✅ Sim | ✅ Sim | ✅ Sim | ✅ Sim |
| Conectar-se ao banco de dados | ✅ Sim | ✅ Sim | ✅ Sim | ✅ Sim |
Dica
Para obter mais informações sobre como as funções funcionam em workspaces, consulte Funções em workspaces. Para obter mais informações sobre como atribuir funções de workspace, consulte Conceder aos usuários acesso a workspaces.
Mapeamento para o Azure
Se você tiver experiência com o Azure Cosmos DB para NoSQL, poderá mapear as permissões de item do Cosmos DB no Fabric para as funções internas do plano de dados do serviço:
As permissões de itens do banco de dados do Cosmos DB são comparáveis às seguintes atribuições de funções relacionadas ao plano de dados, no escopo do banco de dados do Azure Cosmos DB.
| Função do Azure Cosmos DB para NoSQL | Scope | |
|---|---|---|
| Leia | Cosmos DB Built-in Data Reader |
Base de dados |
| ReadAll | Cosmos DB Built-in Data Reader |
Base de dados |
| Escrever | Cosmos DB Built-in Data Contributor |
Base de dados |
Ou, se preferir, você pode mapear para as permissões de controle de acesso baseadas em função do Azure:
| Função do Azure Cosmos DB para NoSQL | Scope | |
|---|---|---|
| Leia | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed" ] |
Base de dados |
| ReadAll | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed" ] |
Base de dados |
| Escrever | [ "Microsoft.DocumentDB/databaseAccounts/readMetadata", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*", "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*" ] |
Base de dados |
Observação
Para obter mais informações sobre as funções do Azure Cosmos DB para NoSQL, consulte a segurança do plano de dados do Azure Cosmos DB para NoSQL.