Controllo degli accessi in base al ruolo Kusto

Kusto usa un modello di controllo degli accessi in base al ruolo in cui le entità ottengono l'accesso alle risorse in base ai ruoli assegnati. I ruoli sono definiti per un cluster, un database, una tabella, una tabella esterna, una vista materializzata o una funzione specifica. Se definito per un cluster, il ruolo si applica a tutti i database nel cluster. Se definito per un database, il ruolo si applica a tutte le entità nel database.

I ruoli di Azure Resource Manager (ARM), ad esempio il proprietario della sottoscrizione o il proprietario del cluster, concedono le autorizzazioni di accesso per l'amministrazione delle risorse. Per l'amministrazione dei dati, sono necessari i ruoli descritti in questo documento.

Nota

Per eliminare un database, sono necessarie almeno le autorizzazioni arm collaboratore nel cluster. Per assegnare le autorizzazioni arm, vedere Assegnare ruoli di Azure usando il portale di Azure.

Ruoli e autorizzazioni

Nella tabella seguente vengono delineati i ruoli e le autorizzazioni disponibili in ogni ambito.

Nella colonna Autorizzazioni viene visualizzato l'accesso concesso a ogni ruolo.

Nella colonna Dipendenze sono elencati i ruoli minimi necessari per ottenere il ruolo in tale riga. Ad esempio, per diventare una tabella Amministrazione, è necessario avere un ruolo come Utente database o un ruolo che includa le autorizzazioni dell'utente del database, ad esempio Database Amministrazione o AllDatabasesAdmin. Quando nella colonna Dipendenze sono elencati più ruoli, è necessario solo uno di essi per ottenere il ruolo.

La colonna Gestisci offre modi per aggiungere o rimuovere entità ruolo.

Ambito Ruolo Autorizzazioni Dependencies Gestione
Cluster AllDatabasesAdmin Autorizzazione completa per tutti i database nel cluster. Può mostrare e modificare determinati criteri a livello di cluster. Include tutte le autorizzazioni. Azure portal
Cluster AllDatabasesViewer Legge tutti i dati e i metadati di qualsiasi database nel cluster. Azure portal
Cluster AllDatabasesMonitor Eseguire .show comandi nel contesto di qualsiasi database nel cluster. Azure portal
Database Admin Autorizzazione completa nell'ambito di un database specifico. Include tutte le autorizzazioni di livello inferiore. portale di Azure o comandi di gestione
Database Utente Legge tutti i dati e i metadati del database. Creare tabelle e funzioni e diventare l'amministratore per tali tabelle e funzioni. portale di Azure o comandi di gestione
Database Visualizzatore Legge tutti i dati e i metadati, ad eccezione delle tabelle con il criterio RestrictedViewAccess attivato. portale di Azure o comandi di gestione
Database Unrestrictedviewer Legge tutti i dati e i metadati, inclusi nelle tabelle con il criterio RestrictedViewAccess attivato. Utente del database o Visualizzatore database portale di Azure o comandi di gestione
Database Ingestor Inserire dati in tutte le tabelle del database senza accedere alle query sui dati. portale di Azure o comandi di gestione
Database Monitoraggio Eseguire .show i comandi nel contesto del database e delle relative entità figlio. portale di Azure o comandi di gestione
Tabella Admin Autorizzazione completa nell'ambito di una tabella specifica. Utente di database Comandi di gestione
Tabella Ingestor Inserire dati nella tabella senza accedere alle query sui dati. Database User or Database Ingestor Comandi di gestione
Tabella esterna Admin Autorizzazione completa nell'ambito di una tabella esterna specifica. Utente del database o Visualizzatore database Comandi di gestione
Vista materializzata Admin Autorizzazione completa per modificare la visualizzazione, eliminare la visualizzazione e concedere autorizzazioni di amministratore a un'altra entità. Amministrazione utente o tabella del database Comandi di gestione
Funzione Admin Autorizzazione completa per modificare la funzione, eliminare la funzione e concedere autorizzazioni di amministratore a un'altra entità. Amministrazione utente o tabella del database Comandi di gestione