Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a: ✅Microsoft Fabric✅Azure Data Explorer
As entidades de segurança recebem acesso aos recursos por meio de um modelo de controle de acesso baseado em função, no qual as funções de segurança atribuídas determinam o acesso aos recursos.
Quando uma entidade de segurança tenta uma operação, o sistema executa uma verificação de autorização para certificar-se de que a entidade de segurança está associada a pelo menos uma função de segurança que concede permissões para executar a operação. A falha em uma verificação de autorização anula a operação.
Os comandos de gerenciamento listados neste artigo podem ser usados para gerenciar entidades e suas funções de segurança em bancos de dados, tabelas, tabelas externas, exibições materializadas e funções.
Observação
As funções de segurança do , AllDatabasesViewer não podem ser configuradas com comandos de gerenciamento de função de AllDatabasesAdminsegurança. Eles são herdados, respectivamente, pelas Admin funções e Viewer no espaço de trabalho.
Observação
As três funções de segurança de nível de cluster de , AllDatabasesViewere AllDatabasesMonitor não podem ser configuradas com comandos de gerenciamento de função de AllDatabasesAdminsegurança.
Para saber como configurá-los no portal do Azure, consulte Gerenciar permissões de cluster.
Comandos de gestão
A tabela a seguir descreve os comandos usados para gerenciar funções de segurança.
| Comando | Descrição |
|---|---|
.show |
Lista os principais com a função dada. |
.add |
Adiciona um ou mais principais à função. |
.drop |
Remove uma ou mais entidades da função. |
.set |
Define a função para a lista específica de entidades de segurança, removendo todas as anteriores. |
Funções de segurança
A tabela a seguir descreve o nível de acesso concedido para cada função e mostra uma verificação se a função pode ser atribuída dentro de um determinado tipo de objeto.
| Funções | Permissões | Bases de dados | Tabelas | Tabelas externas | Visões materializadas | Funções |
|---|---|---|---|---|---|---|
admins |
Exiba, modifique e remova o objeto e os subobjetos. | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
users |
Visualize o objeto e crie novos subobjetos. | ✔️ | ||||
viewers |
Exiba o objeto onde RestrictedViewAccess não está ativado. | ✔️ | ||||
unrestrictedviewers |
Exiba o objeto mesmo onde RestrictedViewAccess está ativado. O principal também deve ter admins, viewers ou users permissões. |
✔️ | ||||
ingestors |
Ingerir dados para o objeto sem acesso à consulta. | ✔️ | ✔️ | |||
monitors |
Exiba metadados, como esquemas, operações e permissões. | ✔️ |
Para obter uma descrição completa das funções de segurança em cada escopo, consulte Controle de acesso baseado em função Kusto.
Observação
Não é possível atribuir a viewer função apenas para algumas tabelas no banco de dados. Para diferentes abordagens sobre como conceder acesso a um modo de exibição principal a um subconjunto de tabelas, consulte Gerenciar acesso ao modo de exibição de tabela.
Cenários comuns
Mostre as suas principais funções
Para ver suas próprias funções no cluster, execute o seguinte comando:
Para ver suas próprias funções na casa de eventos, execute o seguinte comando:
.show cluster principal roles
Mostrar suas funções em um recurso
Para verificar as funções atribuídas a você em um recurso específico, execute o seguinte comando no banco de dados relevante ou no banco de dados que contém o recurso:
// For a database:
.show database DatabaseName principal roles
// For a table:
.show table TableName principal roles
// For an external table:
.show external table ExternalTableName principal roles
// For a function:
.show function FunctionName principal roles
// For a materialized view:
.show materialized-view MaterializedViewName principal roles
Mostrar as funções de todos os principais em um recurso
Para ver as funções atribuídas a todas as entidades de segurança para um recurso específico, execute o seguinte comando no banco de dados relevante ou no banco de dados que contém o recurso:
// For a database:
.show database DatabaseName principals
// For a table:
.show table TableName principals
// For an external table:
.show external table ExternalTableName principals
// For a function:
.show function FunctionName principals
// For a materialized view:
.show materialized-view MaterializedViewName principals
Sugestão
Use o operador where para filtrar os resultados por um principal ou função específica.
Importante
Se a entidade de segurança estiver no mesmo locatário que o usuário, seu nome totalmente qualificado (FQN) será exibido.
Se a entidade de segurança estiver em um locatário diferente do usuário:
- O nome para exibição não mostra o FQN.
- O nome para exibição indica que a entidade de segurança é de um locatário diferente. O formato é
[User/Group/Application] from AAD tenant [Tenant Id]. - Para adicionar informações de identificação, atribua ao principal uma função em seu locatário e use o parâmetro para adicionar detalhes de
Descriptionidentificação. ODescriptioné mostrado na coluna Notas da saída.
Modificar as atribuições de função
Para obter detalhes sobre como modificar suas atribuições de função nos níveis de banco de dados e tabela, consulte Gerenciar funções de segurança de banco de dados e Gerenciar funções de segurança de tabela.