Sdílet prostřednictvím

Přehled rolí zabezpečení

  • Článek

Objekty zabezpečení mají udělený přístup k prostředkům prostřednictvím modelu řízení přístupu na základě role, kde jejich přiřazené role zabezpečení určují přístup k prostředkům.

Když se objekt zabezpečení pokusí o operaci, systém provede kontrolu autorizace, aby se ujistil, že je objekt zabezpečení přidružený alespoň k jedné roli zabezpečení, která uděluje oprávnění k provedení operace. Selhání kontroly autorizace přeruší operaci.

Příkazy pro správu uvedené v tomto článku je možné použít ke správě objektů zabezpečení a jejich rolí zabezpečení v databázích, tabulkách, externích tabulkách, materializovaných zobrazeních a funkcích.

Poznámka

Tři role zabezpečení na úrovni clusteru AllDatabasesAdmin, AllDatabasesViewera AllDatabasesMonitor se nedají nakonfigurovat pomocí příkazů pro správu rolí zabezpečení. Informace o tom, jak je nakonfigurovat v Azure Portal, najdete v tématu Správa oprávnění clusteru.

Příkazy pro správu

Následující tabulka popisuje příkazy používané ke správě rolí zabezpečení.

Příkaz Popis
.show Seznamy objekty zabezpečení s danou rolí.
.add Přidá do role jeden nebo více objektů zabezpečení.
.drop Odebere z role jeden nebo více objektů zabezpečení.
.set Nastaví roli na konkrétní seznam objektů zabezpečení a odebere všechny předchozí objekty zabezpečení.

Role zabezpečení

Následující tabulka popisuje úroveň přístupu uděleného jednotlivým rolím a ukazuje kontrolu, jestli je možné roli přiřadit v rámci daného typu objektu.

Role Oprávnění Databáze Tabulky Externí tabulky Materializovaná zobrazení Functions
admins Umožňuje zobrazit, upravit a odebrat objekt a podobjekty. ✔️ ✔️ ✔️ ✔️ ✔️
users Zobrazte objekt a vytvořte nové podobjekty. ✔️
viewers Zobrazte objekt, u kterého není zapnutá technologie RestrictedViewAccess . ✔️
unrestrictedviewers Zobrazte objekt i tam, kde je zapnutá technologie RestrictedViewAccess . Objekt zabezpečení musí mít adminstaké oprávnění , viewers nebo users . ✔️
ingestors Ingestujte data do objektu bez přístupu k dotazu. ✔️ ✔️
monitors Umožňuje zobrazit metadata, jako jsou schémata, operace a oprávnění. ✔️

Úplný popis rolí zabezpečení v jednotlivých oborech najdete v tématu Řízení přístupu na základě role v Kusto.

Poznámka

Roli není možné přiřadit viewer jenom některým tabulkám v databázi. Různé přístupy k tomu, jak udělit hlavnímu zobrazení přístup k podmnožině tabulek, najdete v tématu Správa přístupu k zobrazení tabulky.

Obvyklé scénáře

Zobrazení rolí v clusteru

Pokud chcete zobrazit vlastní role v clusteru, spusťte následující příkaz:

.show cluster principal roles

Zobrazení rolí u prostředku

Pokud chcete zkontrolovat role přiřazené k určitému prostředku, spusťte následující příkaz v příslušné databázi nebo databázi obsahující daný prostředek:

// For a database:
.show database DatabaseName principal roles

// For a table:
.show table TableName principal roles

// For an external table:
.show external table ExternalTableName principal roles

// For a function:
.show function FunctionName principal roles

// For a materialized view:
.show materialized-view MaterializedViewName principal roles

Zobrazení rolí všech objektů zabezpečení v prostředku

Pokud chcete zobrazit role přiřazené ke všem objektům zabezpečení pro konkrétní prostředek, spusťte následující příkaz v příslušné databázi nebo databázi obsahující daný prostředek:

// For a database:
.show database DatabaseName principals

// For a table:
.show table TableName principals

// For an external table:
.show external table ExternalTableName principals

// For a function:
.show function FunctionName principals

// For a materialized view:
.show materialized-view MaterializedViewName principals

Tip

Pomocí operátoru where můžete filtrovat výsledky podle konkrétního objektu zabezpečení nebo role.

Úprava přiřazení rolí

Podrobnosti o tom, jak upravit přiřazení rolí na úrovni databáze a tabulky, najdete v tématech Správa rolí zabezpečení databáze a Správa rolí zabezpečení tabulek.

Související obsah