Introducción a los roles de seguridad
A las entidades de seguridad se les concede acceso a los recursos a través de un modelo de control de acceso basado en roles, donde sus roles de seguridad asignados determinan su acceso a los recursos.
Cuando una entidad de seguridad intenta realizar una operación, el sistema realiza una comprobación de autorización para asegurarse de que la entidad de seguridad está asociada al menos a un rol de seguridad que concede permisos para realizar la operación. Si se produce un error en una comprobación de autorización, se anula la operación.
Los comandos de administración enumerados en este artículo se pueden usar para administrar entidades de seguridad y sus roles de seguridad en bases de datos, tablas, tablas externas, vistas materializadas y funciones.
Nota
Los tres roles de seguridad de nivel de clúster de AllDatabasesAdmin, AllDatabasesViewery AllDatabasesMonitor no se pueden configurar con comandos de administración de roles de seguridad. Para obtener información sobre cómo configurarlos en el Azure Portal, consulte Administración de permisos de clúster.
Comandos de administración
En la tabla siguiente se describen los comandos usados para administrar roles de seguridad.
| Get-Help | Descripción |
|---|---|
.show |
Listas entidades de seguridad con el rol especificado. |
.add |
Agrega una o varias entidades de seguridad al rol. |
.drop |
Quita una o varias entidades de seguridad del rol. |
.set |
Establece el rol en la lista específica de entidades de seguridad, quitando todas las anteriores. |
Roles de seguridad
En la tabla siguiente se describe el nivel de acceso concedido para cada rol y se muestra una comprobación de si el rol se puede asignar dentro del tipo de objeto especificado.
| Role | Permisos | Bases de datos | Tablas | Tablas externas | Vistas materializadas | Functions |
|---|---|---|---|---|---|---|
admins |
Vea, modifique y quite los objetos y subobjetos. | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
users |
Vea el objeto y cree nuevos subobjetos. | ✔️ | ||||
viewers |
Vea el objeto donde RestrictedViewAccess no está activado. | ✔️ | ||||
unrestrictedviewers |
Vea el objeto incluso donde está activado RestrictedViewAccess . La entidad de seguridad también debe tener adminspermisos o viewersusers . |
✔️ | ||||
ingestors |
Ingiera datos en el objeto sin acceso a la consulta. | ✔️ | ✔️ | |||
monitors |
Vea metadatos como esquemas, operaciones y permisos. | ✔️ |
Para obtener una descripción completa de los roles de seguridad en cada ámbito, consulte Control de acceso basado en roles de Kusto.
Nota
No es posible asignar el viewer rol solo para algunas tablas de la base de datos. Para obtener diferentes enfoques sobre cómo conceder a una vista de entidad de seguridad acceso a un subconjunto de tablas, consulte Administración del acceso a la vista de tabla.
Escenarios frecuentes
Mostrar los roles en el clúster
Para ver sus propios roles en el clúster, ejecute el siguiente comando:
.show cluster principal roles
Mostrar los roles en un recurso
Para comprobar los roles asignados en un recurso específico, ejecute el siguiente comando en la base de datos correspondiente o en la base de datos que contiene el recurso:
// For a database:
.show database DatabaseName principal roles
// For a table:
.show table TableName principal roles
// For an external table:
.show external table ExternalTableName principal roles
// For a function:
.show function FunctionName principal roles
// For a materialized view:
.show materialized-view MaterializedViewName principal roles
Mostrar los roles de todas las entidades de seguridad de un recurso
Para ver los roles asignados a todas las entidades de seguridad de un recurso determinado, ejecute el siguiente comando en la base de datos correspondiente o en la base de datos que contiene el recurso:
// For a database:
.show database DatabaseName principals
// For a table:
.show table TableName principals
// For an external table:
.show external table ExternalTableName principals
// For a function:
.show function FunctionName principals
// For a materialized view:
.show materialized-view MaterializedViewName principals
Sugerencia
Use el operador where para filtrar los resultados por una entidad de seguridad o un rol específicos.
Modificación de las asignaciones de roles
Para más información sobre cómo modificar las asignaciones de roles en los niveles de base de datos y tabla, consulte Administración de roles de seguridad de base de datos y Administración de roles de seguridad de tabla.
Contenido relacionado
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de