Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Cosmos DB para NoSQL expõe um conjunto exclusivo de ações e funções de dados em sua implementação de controle de acesso baseado em função nativa. Este artigo inclui uma lista dessas ações e funções com descrições sobre quais permissões são concedidas para cada recurso.
Advertência
O controle de acesso nativo baseado em funções do Azure Cosmos DB para NoSQL não oferece suporte à notDataActions propriedade. Qualquer ação que não seja especificada como permitida dataAction é excluída automaticamente.
Ações incorporadas
Aqui está uma lista de ações de dados que podem ser definidas individualmente em uma definição de função.
| Description | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/readMetadata |
Ler metadados necessários da conta para operações de plano de dados |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/create |
Cria novos itens |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read |
Lê itens específicos executando uma leitura pontual usando a chave de partição e o identificador exclusivo |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/replace |
Substitui itens existentes |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/upsert |
Cria um novo item se ele não existir ou substitui um item existente |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/delete |
Exclui um item |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery |
Executa uma consulta NoSQL |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed |
Leituras do feed de alterações do contêiner |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeStoredProcedure |
Executa procedimentos armazenados |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/manageConflicts |
Gerenciar conflitos para contas usando o feed de conflitos |
Observação
Para executar consultas NoSQL usando os kits de desenvolvimento de software (SDKs), você deve ter as Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery permissões e Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed .
Curingas de ação de dados
Os curingas são suportados nos níveis de contêineres e itens.
| Description | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/* |
Execute todas as operações específicas do contêiner, como executar consultas, ler o feed de alterações, gerenciar conflitos e executar procedimentos armazenados |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/* |
Execute todas as operações específicas do item, como criar, ler, atualizar, substituir e excluir itens |
Funções incorporadas
O Azure Cosmos DB para NoSQL define definições de função específicas do plano de dados. Essas funções são distintas das definições de função de controle de acesso baseadas em função do Azure.
Leitor de dados integrado do Cosmos DB
Identificação: 00000000-0000-0000-0000-000000000001
-
Ações incluídas
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/readMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQueryMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed
Colaborador de dados integrado do Cosmos DB
Identificação: 00000000-0000-0000-0000-000000000002
-
Ações incluídas
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*
Metadados necessários
Os SDKs (kits de desenvolvimento de software) do Azure Cosmos DB emitem solicitações de metadados somente leitura durante a inicialização e para atender a solicitações de dados específicas. Essas solicitações buscam vários detalhes de configuração, como:
- A configuração global da sua conta, que inclui as regiões do Azure em que a conta está disponível
- A chave de partição de seus contêineres ou sua política de indexação
- A lista de partições físicas que fazem um contêiner e seus endereços
- Eles não buscam nenhum dos dados armazenados em sua conta
Para garantir a melhor transparência do nosso modelo de permissão, essas solicitações de metadados são explicitamente cobertas pela ação de Microsoft.DocumentDB/databaseAccounts/readMetadata dados. Essa ação deve ser permitida em todas as situações em que sua conta do Azure Cosmos DB é acessada por meio de um dos SDKs do Azure Cosmos DB.
A ação pode ser atribuída em qualquer nível na hierarquia de uma conta do Azure Cosmos DB, incluindo conta, banco de dados ou contêiner. As solicitações de metadados reais permitidas dependem do escopo:
-
Conta
- Listando os bancos de dados na conta
- Para cada banco de dados sob a conta, as ações permitidas no escopo do banco de dados
-
Base de dados
- Leitura de metadados do banco de dados
- Listando os contêineres no banco de dados
- Para cada contêiner no banco de dados, as ações permitidas no escopo do contêiner
-
Contentor
- Lendo metadados do contêiner
- Listando partições físicas sob o contêiner
- Resolvendo o endereço de cada partição física
Importante
Não é possível gerenciar a taxa de transferência com a Microsoft.DocumentDB/databaseAccounts/readMetadata ação de dados.