Přehled rolí zabezpečení
Objekty zabezpečení mají udělený přístup k prostředkům prostřednictvím modelu řízení přístupu na základě role, kde jejich přiřazené role zabezpečení určují přístup k prostředkům.
Když se objekt zabezpečení pokusí o operaci, systém provede kontrolu autorizace, aby se ujistil, že je objekt zabezpečení přidružený alespoň k jedné roli zabezpečení, která uděluje oprávnění k provedení operace. Selhání kontroly autorizace přeruší operaci.
Příkazy pro správu uvedené v tomto článku je možné použít ke správě objektů zabezpečení a jejich rolí zabezpečení v databázích, tabulkách, externích tabulkách, materializovaných zobrazeních a funkcích.
Poznámka
Tři role zabezpečení na úrovni clusteru AllDatabasesAdmin
, AllDatabasesViewer
a AllDatabasesMonitor
se nedají nakonfigurovat pomocí příkazů pro správu rolí zabezpečení. Informace o tom, jak je nakonfigurovat v Azure Portal, najdete v tématu Správa oprávnění clusteru.
Příkazy pro správu
Následující tabulka popisuje příkazy používané ke správě rolí zabezpečení.
Příkaz | Popis |
---|---|
.show |
Seznamy objekty zabezpečení s danou rolí. |
.add |
Přidá do role jeden nebo více objektů zabezpečení. |
.drop |
Odebere z role jeden nebo více objektů zabezpečení. |
.set |
Nastaví roli na konkrétní seznam objektů zabezpečení a odebere všechny předchozí objekty zabezpečení. |
Role zabezpečení
Následující tabulka popisuje úroveň přístupu uděleného jednotlivým rolím a ukazuje kontrolu, jestli je možné roli přiřadit v rámci daného typu objektu.
Role | Oprávnění | Databáze | Tabulky | Externí tabulky | Materializovaná zobrazení | Functions |
---|---|---|---|---|---|---|
admins |
Umožňuje zobrazit, upravit a odebrat objekt a podobjekty. | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
users |
Zobrazte objekt a vytvořte nové podobjekty. | ✔️ | ||||
viewers |
Zobrazte objekt, u kterého není zapnutá technologie RestrictedViewAccess . | ✔️ | ||||
unrestrictedviewers |
Zobrazte objekt i tam, kde je zapnutá technologie RestrictedViewAccess . Objekt zabezpečení musí mít admins také oprávnění , viewers nebo users . |
✔️ | ||||
ingestors |
Ingestujte data do objektu bez přístupu k dotazu. | ✔️ | ✔️ | |||
monitors |
Umožňuje zobrazit metadata, jako jsou schémata, operace a oprávnění. | ✔️ |
Úplný popis rolí zabezpečení v jednotlivých oborech najdete v tématu Řízení přístupu na základě role v Kusto.
Poznámka
Roli není možné přiřadit viewer
jenom některým tabulkám v databázi. Různé přístupy k tomu, jak udělit hlavnímu zobrazení přístup k podmnožině tabulek, najdete v tématu Správa přístupu k zobrazení tabulky.
Obvyklé scénáře
Zobrazení rolí v clusteru
Pokud chcete zobrazit vlastní role v clusteru, spusťte následující příkaz:
.show cluster principal roles
Zobrazení rolí u prostředku
Pokud chcete zkontrolovat role přiřazené k určitému prostředku, spusťte následující příkaz v příslušné databázi nebo databázi obsahující daný prostředek:
// For a database:
.show database DatabaseName principal roles
// For a table:
.show table TableName principal roles
// For an external table:
.show external table ExternalTableName principal roles
// For a function:
.show function FunctionName principal roles
// For a materialized view:
.show materialized-view MaterializedViewName principal roles
Zobrazení rolí všech objektů zabezpečení v prostředku
Pokud chcete zobrazit role přiřazené ke všem objektům zabezpečení pro konkrétní prostředek, spusťte následující příkaz v příslušné databázi nebo databázi obsahující daný prostředek:
// For a database:
.show database DatabaseName principals
// For a table:
.show table TableName principals
// For an external table:
.show external table ExternalTableName principals
// For a function:
.show function FunctionName principals
// For a materialized view:
.show materialized-view MaterializedViewName principals
Tip
Pomocí operátoru where můžete filtrovat výsledky podle konkrétního objektu zabezpečení nebo role.
Úprava přiřazení rolí
Podrobnosti o tom, jak upravit přiřazení rolí na úrovni databáze a tabulky, najdete v tématech Správa rolí zabezpečení databáze a Správa rolí zabezpečení tabulek.
Související obsah
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro