Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure Cosmos DB for Table expõe um conjunto exclusivo de ações e funções de dados em sua implementação de controle de acesso baseado em função nativa. Este artigo inclui uma lista dessas ações e funções com descrições sobre quais permissões são concedidas para cada recurso.
Advertência
O controle de acesso baseado em função nativo do Azure Cosmos DB for Table não oferece suporte à notDataActions propriedade. Qualquer ação que não seja especificada como permitida dataAction é excluída automaticamente.
Ações incorporadas
Aqui está uma lista de ações de dados que podem ser definidas individualmente em uma definição de função.
| Description | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/readMetadata |
Leia alguns metadados da conta |
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeQuery |
Executa uma consulta em relação a uma tabela |
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeStoredProcedure |
Executa uma transação de tabela (procedimento) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/create |
Cria uma nova entidade (item) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/read |
Ponto lê uma entidade individual (item) usando as chaves de linha e partição |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/replace |
Substitui totalmente uma entidade existente (item) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/upsert |
Cria uma entidade (item) se ela não existir ou substitui a entidade se ela já existir |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/delete |
Exclui uma entidade (item) |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/read |
Leia a taxa de transferência atual |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/write |
Modificar a taxa de transferência atual |
Microsoft.DocumentDB/databaseAccounts/tables/write |
Criar ou atualizar uma tabela |
Microsoft.DocumentDB/databaseAccounts/tables/delete |
Eliminar uma tabela |
Microsoft.DocumentDB/databaseAccounts/tables/containers/write |
Criar ou atualizar um contêiner |
Microsoft.DocumentDB/databaseAccounts/tables/containers/delete |
Excluir um contêiner |
Microsoft.DocumentDB/databaseAccounts/tables/containers/readChangeFeed |
Ler a partir do feed de alterações do contentor |
Microsoft.DocumentDB/databaseAccounts/tables/containers/manageConflicts |
Gerenciar conflitos para contas de região de várias gravações (listar e excluir itens do feed de conflitos) |
Curingas de ação de dados
O operador curinga (*) é suportado tablesnos níveis , containerse para entities ações. Use o curinga para conceder amplo acesso a um tipo de recurso específico.
| Description | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/tables/* |
Executar todas as operações em tabelas |
Microsoft.DocumentDB/databaseAccounts/tables/containers/* |
Executar todas as operações em contêineres |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/* |
Executar todas as operações em entidades (itens) |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/* |
Executar todas as operações relacionadas à taxa de transferência |
Metadados necessários para ações
Os SDKs (kits de desenvolvimento de software) do Azure Cosmos DB emitem solicitações de metadados somente leitura durante a inicialização e para atender a solicitações de dados específicas. Essas solicitações buscam vários detalhes de configuração, como:
- A configuração global da sua conta, que inclui as regiões do Azure em que a conta está disponível
- A chave de partição de seus contêineres ou sua política de indexação
- A lista de partições físicas que fazem um contêiner e seus endereços
- Eles não buscam nenhum dos dados armazenados em sua conta
Para garantir a melhor transparência do nosso modelo de permissão, essas solicitações de metadados são explicitamente cobertas pela ação de Microsoft.DocumentDB/databaseAccounts/readMetadata dados. Essa ação deve ser permitida em todas as situações em que sua conta do Azure Cosmos DB é acessada por meio de um dos SDKs do Azure Cosmos DB.
A ação pode ser atribuída em qualquer nível na hierarquia de uma conta do Azure Cosmos DB, incluindo conta, banco de dados ou contêiner. As solicitações de metadados reais permitidas dependem do escopo:
-
Conta
- Listando os bancos de dados na conta
- Para cada banco de dados sob a conta, as ações permitidas no escopo do banco de dados
-
Tabela
- Leitura de metadados da tabela
- Listando os contêineres na tabela
- Para cada contêiner sob a tabela, as ações permitidas no escopo do contêiner
-
Contentor
- Lendo metadados do contêiner
- Listando partições físicas na tabela
- Resolvendo o endereço de cada partição física
Importante
Não é possível gerenciar a taxa de transferência com a Microsoft.DocumentDB/databaseAccounts/readMetadata ação de dados.
Funções incorporadas
O Azure Cosmos DB for Table define definições de função específicas do plano de dados. Essas funções são distintas das definições de função de controle de acesso baseadas em função do Azure.
Leitor de dados integrado do Cosmos DB
Identificação: 00000000-0000-0000-0000-000000000001
-
Ações incluídas
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/tables/containers/entities/read
Colaborador de dados integrado do Cosmos DB
Identificação: 00000000-0000-0000-0000-000000000002
-
Ações incluídas
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/tables/*Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/*