Översikt över säkerhetsroller
Huvudkonton beviljas åtkomst till resurser via en rollbaserad åtkomstkontrollmodell, där deras tilldelade säkerhetsroller avgör deras resursåtkomst.
När ett huvudnamn försöker utföra en åtgärd utför systemet en auktoriseringskontroll för att kontrollera att huvudkontot är associerat med minst en säkerhetsroll som ger behörighet att utföra åtgärden. Om en auktoriseringskontroll misslyckas avbryts åtgärden.
De hanteringskommandon som anges i den här artikeln kan användas för att hantera huvudkonton och deras säkerhetsroller för databaser, tabeller, externa tabeller, materialiserade vyer och funktioner.
Anteckning
De tre säkerhetsrollerna AllDatabasesAdmin
på klusternivå för , AllDatabasesViewer
och AllDatabasesMonitor
kan inte konfigureras med säkerhetsrollhanteringskommandon. Information om hur du konfigurerar dem i Azure Portal finns i Hantera klusterbehörigheter.
Kommandon för hantering
I följande tabell beskrivs de kommandon som används för att hantera säkerhetsroller.
Kommando | Beskrivning |
---|---|
.show |
Listor huvudkonton med den angivna rollen. |
.add |
Lägger till ett eller flera huvudnamn i rollen. |
.drop |
Tar bort ett eller flera huvudnamn från rollen. |
.set |
Anger rollen till den specifika listan över huvudkonton och tar bort alla tidigare. |
Säkerhetsroller
I följande tabell beskrivs åtkomstnivån för varje roll och en kontroll av om rollen kan tilldelas inom den angivna objekttypen.
Roll | Behörigheter | Databaser | Tables | Externa tabeller | Materialiserade vyer | Functions |
---|---|---|---|---|---|---|
admins |
Visa, ändra och ta bort objektet och underobjekten. | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
users |
Visa objektet och skapa nya underobjekt. | ✔️ | ||||
viewers |
Visa objektet där RestrictedViewAccess inte är aktiverat. | ✔️ | ||||
unrestrictedviewers |
Visa objektet även där RestrictedViewAccess är aktiverat. Huvudkontot måste också ha admins , viewers eller users behörigheter. |
✔️ | ||||
ingestors |
Mata in data till objektet utan åtkomst till frågor. | ✔️ | ✔️ | |||
monitors |
Visa metadata som scheman, åtgärder och behörigheter. | ✔️ |
En fullständig beskrivning av säkerhetsrollerna i varje omfång finns i Kusto-rollbaserad åtkomstkontroll.
Anteckning
Det går inte att tilldela viewer
rollen för endast vissa tabeller i databasen. Olika metoder för hur du beviljar en huvudvyåtkomst till en delmängd tabeller finns i Hantera åtkomst till tabellvyer.
Vanliga scenarier
Visa dina roller i klustret
Om du vill se dina egna roller i klustret kör du följande kommando:
.show cluster principal roles
Visa dina roller på en resurs
Om du vill kontrollera de roller som tilldelats dig på en specifik resurs kör du följande kommando i den relevanta databasen eller databasen som innehåller resursen:
// For a database:
.show database DatabaseName principal roles
// For a table:
.show table TableName principal roles
// For an external table:
.show external table ExternalTableName principal roles
// For a function:
.show function FunctionName principal roles
// For a materialized view:
.show materialized-view MaterializedViewName principal roles
Visa rollerna för alla huvudkonton på en resurs
Om du vill se rollerna som tilldelats till alla huvudnamn för en viss resurs kör du följande kommando i den relevanta databasen eller databasen som innehåller resursen:
// For a database:
.show database DatabaseName principals
// For a table:
.show table TableName principals
// For an external table:
.show external table ExternalTableName principals
// For a function:
.show function FunctionName principals
// For a materialized view:
.show materialized-view MaterializedViewName principals
Tips
Använd operatorn where för att filtrera resultatet efter ett specifikt huvudnamn eller en viss roll.
Ändra rolltilldelningarna
Mer information om hur du ändrar dina rolltilldelningar på databas- och tabellnivå finns i Hantera databassäkerhetsroller och Hantera tabellsäkerhetsroller.
Relaterat innehåll
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för