Contrôle d’accès en fonction du rôle Kusto
Kusto utilise un modèle de contrôle d’accès en fonction du rôle (RBAC) dans lequel les principaux obtiennent l’accès aux ressources en fonction des rôles qui leur sont attribués . Les rôles sont définis pour un cluster, une base de données, une table, une table externe, une vue matérialisée ou une fonction spécifiques. Lorsqu’il est défini pour un cluster, le rôle s’applique à toutes les bases de données du cluster. Lorsqu’il est défini pour une base de données, le rôle s’applique à toutes les entités de la base de données.
Les rôles Azure Resource Manager (ARM), tels que le propriétaire de l’abonnement ou le propriétaire du cluster, accordent des autorisations d’accès pour l’administration des ressources. Pour l’administration des données, vous avez besoin des rôles décrits dans ce document.
Notes
Pour supprimer une base de données, vous avez besoin d’au moins des autorisations ARM contributeurs sur le cluster. Pour attribuer des autorisations ARM, consultez Attribuer des rôles Azure à l’aide du Portail Azure.
Rôles et autorisations
Le tableau suivant présente les rôles et les autorisations disponibles à chaque étendue.
La colonne Autorisations affiche l’accès accordé à chaque rôle.
La colonne Dépendances répertorie les rôles minimaux requis pour obtenir le rôle dans cette ligne. Par exemple, pour devenir un Administration de table, vous devez d’abord avoir un rôle comme Utilisateur de base de données ou un rôle qui inclut les autorisations d’Utilisateur de base de données, comme Database Administration ou AllDatabasesAdmin. Lorsque plusieurs rôles sont répertoriés dans la colonne Dépendances , un seul d’entre eux est nécessaire pour obtenir le rôle.
La colonne Gérer offre des moyens d’ajouter ou de supprimer des principaux de rôle.
| Étendue | Role | Autorisations | Les dépendances | Gérer |
|---|---|---|---|---|
| Cluster | AllDatabasesAdmin | Autorisation totale sur toutes les bases de données du cluster. Peut afficher et modifier certaines stratégies au niveau du cluster. Inclut toutes les autorisations. | Azure portal | |
| Cluster | AllDatabasesViewer | Lisez toutes les données et métadonnées d’une base de données dans le cluster. | Azure portal | |
| Cluster | AllDatabasesMonitor | Exécutez .show des commandes dans le contexte d’une base de données dans le cluster. |
Azure portal | |
| Base de données | Admin | Autorisation complète dans l’étendue d’une base de données particulière. Inclut toutes les autorisations de niveau inférieur. | Portail Azure ou commandes de gestion | |
| Base de données | Utilisateur | Lisez toutes les données et métadonnées de la base de données. Créez des tables et des fonctions, puis devenez l’administrateur de ces tables et fonctions. | Portail Azure ou commandes de gestion | |
| Base de données | Visionneuse | Lisez toutes les données et métadonnées, à l’exception des tables avec la stratégie RestrictedViewAccess activée. | Portail Azure ou commandes de gestion | |
| Base de données | Viewer non restreint | Lisez toutes les données et métadonnées, y compris dans les tables avec la stratégie RestrictedViewAccess activée. | Utilisateur de base de données ou Visionneuse de base de données | Portail Azure ou commandes de gestion |
| Base de données | Ingesteur | Ingérer des données dans toutes les tables de la base de données sans accès pour interroger les données. | Portail Azure ou commandes de gestion | |
| Base de données | Monitor | Exécutez .show des commandes dans le contexte de la base de données et de ses entités enfants. |
Portail Azure ou commandes de gestion | |
| Table de charge de travail | Admin | Autorisation complète dans l’étendue d’une table particulière. | Utilisateur de la base de données | Commandes de gestion |
| Table de charge de travail | Ingesteur | Ingérer des données dans la table sans accès pour interroger les données. | Utilisateur de base de données ou ingesteur de base de données | Commandes de gestion |
| Table externe | Admin | Autorisation complète dans l’étendue d’une table externe particulière. | Utilisateur de base de données ou Visionneuse de base de données | Commandes de gestion |
| Vue matérialisée | Admin | Autorisation complète pour modifier l’affichage, supprimer la vue et accorder des autorisations d’administrateur à un autre principal. | Utilisateur de base de données ou Administration de table | Commandes de gestion |
| Fonction | Admin | Autorisation complète pour modifier la fonction, supprimer la fonction et accorder des autorisations d’administrateur à un autre principal. | Utilisateur de base de données ou Administration de table | Commandes de gestion |
Contenu connexe
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour