Übersicht über Sicherheitsrollen
Prinzipalen wird der Zugriff auf Ressourcen über ein rollenbasiertes Zugriffssteuerungsmodell gewährt, bei dem die zugewiesenen Sicherheitsrollen ihren Ressourcenzugriff bestimmen.
Wenn ein Prinzipal einen Vorgang versucht, führt das System eine Autorisierungsprüfung durch, um sicherzustellen, dass der Prinzipal mindestens einer Sicherheitsrolle zugeordnet ist, die Berechtigungen zum Ausführen des Vorgangs erteilt. Wenn eine Autorisierungsprüfung nicht erfolgt, wird der Vorgang abgebrochen.
Die in diesem Artikel aufgeführten Verwaltungsbefehle können verwendet werden, um Prinzipale und deren Sicherheitsrollen für Datenbanken, Tabellen, externe Tabellen, materialisierte Ansichten und Funktionen zu verwalten.
Hinweis
Die drei Sicherheitsrollen auf Clusterebene von AllDatabasesAdmin, AllDatabasesViewerund AllDatabasesMonitor können nicht mit Sicherheitsrollenverwaltungsbefehlen konfiguriert werden. Informationen zum Konfigurieren in der Azure-Portal finden Sie unter Verwalten von Clusterberechtigungen.
Befehle für Verwaltung
In der folgenden Tabelle werden die Befehle beschrieben, die zum Verwalten von Sicherheitsrollen verwendet werden.
| Get-Help | BESCHREIBUNG |
|---|---|
.show |
Listen Prinzipale mit der angegebenen Rolle. |
.add |
Fügt der Rolle einen oder mehrere Prinzipale hinzu. |
.drop |
Entfernt einen oder mehrere Prinzipale aus der Rolle. |
.set |
Legt die Rolle auf die bestimmte Liste der Prinzipale fest, und entfernt alle vorherigen Prinzipale. |
Sicherheitsrollen
Die folgende Tabelle beschreibt die Zugriffsebene, die für jede Rolle gewährt wird, und zeigt eine Überprüfung, ob die Rolle innerhalb des angegebenen Objekttyps zugewiesen werden kann.
| Role | Berechtigungen | Datenbanken | Tabellen | Externe Tabellen | Materialisierte Sichten | Functions |
|---|---|---|---|---|---|---|
admins |
Anzeigen, Ändern und Entfernen des Objekts und der Unterobjekte. | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
users |
Zeigen Sie das Objekt an, und erstellen Sie neue Unterobjekte. | ✔️ | ||||
viewers |
Zeigen Sie das Objekt an, in dem RestrictedViewAccess nicht aktiviert ist. | ✔️ | ||||
unrestrictedviewers |
Zeigen Sie das Objekt auch dort an, wo RestrictedViewAccess aktiviert ist. Der Prinzipal muss auch über adminsberechtigungen viewers oder verfügen users . |
✔️ | ||||
ingestors |
Erfassen Sie Daten für das -Objekt ohne Abfragezugriff. | ✔️ | ✔️ | |||
monitors |
Zeigen Sie Metadaten wie Schemas, Vorgänge und Berechtigungen an. | ✔️ |
Eine vollständige Beschreibung der Sicherheitsrollen in den einzelnen Bereichen finden Sie unter Rollenbasierte Zugriffssteuerung in Kusto.
Hinweis
Es ist nicht möglich, die viewer Rolle nur für einige Tabellen in der Datenbank zuzuweisen. Verschiedene Ansätze zum Gewähren des Zugriffs auf eine Prinzipalansicht auf eine Teilmenge von Tabellen finden Sie unter Verwalten des Tabellensichtzugriffs.
Häufige Szenarios
Anzeigen Ihrer Rollen im Cluster
Führen Sie den folgenden Befehl aus, um Ihre eigenen Rollen im Cluster anzuzeigen:
.show cluster principal roles
Anzeigen Ihrer Rollen in einer Ressource
Um die Ihnen für eine bestimmte Ressource zugewiesenen Rollen zu überprüfen, führen Sie den folgenden Befehl in der relevanten Datenbank oder der Datenbank aus, die die Ressource enthält:
// For a database:
.show database DatabaseName principal roles
// For a table:
.show table TableName principal roles
// For an external table:
.show external table ExternalTableName principal roles
// For a function:
.show function FunctionName principal roles
// For a materialized view:
.show materialized-view MaterializedViewName principal roles
Anzeigen der Rollen aller Prinzipale in einer Ressource
Um die Rollen anzuzeigen, die allen Prinzipalen für eine bestimmte Ressource zugewiesen sind, führen Sie den folgenden Befehl in der relevanten Datenbank oder der Datenbank aus, die die Ressource enthält:
// For a database:
.show database DatabaseName principals
// For a table:
.show table TableName principals
// For an external table:
.show external table ExternalTableName principals
// For a function:
.show function FunctionName principals
// For a materialized view:
.show materialized-view MaterializedViewName principals
Tipp
Verwenden Sie den where-Operator , um die Ergebnisse nach einem bestimmten Prinzipal oder einer bestimmten Rolle zu filtern.
Ändern der Rollenzuweisungen
Ausführliche Informationen zum Ändern Ihrer Rollenzuweisungen auf Datenbank- und Tabellenebene finden Sie unter Verwalten von Datenbanksicherheitsrollen und Verwalten von Tabellensicherheitsrollen.
Verwandte Inhalte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für