Översikt över säkerhetsroller

Huvudkonton beviljas åtkomst till resurser via en rollbaserad åtkomstkontrollmodell, där deras tilldelade säkerhetsroller avgör deras resursåtkomst.

När ett huvudnamn försöker utföra en åtgärd utför systemet en auktoriseringskontroll för att kontrollera att huvudkontot är associerat med minst en säkerhetsroll som ger behörighet att utföra åtgärden. Om en auktoriseringskontroll misslyckas avbryts åtgärden.

De hanteringskommandon som anges i den här artikeln kan användas för att hantera huvudkonton och deras säkerhetsroller för databaser, tabeller, externa tabeller, materialiserade vyer och funktioner.

Anteckning

De tre säkerhetsrollerna AllDatabasesAdminpå klusternivå för , AllDatabasesVieweroch AllDatabasesMonitor kan inte konfigureras med säkerhetsrollhanteringskommandon. Information om hur du konfigurerar dem i Azure Portal finns i Hantera klusterbehörigheter.

Kommandon för hantering

I följande tabell beskrivs de kommandon som används för att hantera säkerhetsroller.

Kommando	Beskrivning
.show	Listor huvudkonton med den angivna rollen.
.add	Lägger till ett eller flera huvudnamn i rollen.
.drop	Tar bort ett eller flera huvudnamn från rollen.
.set	Anger rollen till den specifika listan över huvudkonton och tar bort alla tidigare.

Säkerhetsroller

I följande tabell beskrivs åtkomstnivån för varje roll och en kontroll av om rollen kan tilldelas inom den angivna objekttypen.

Roll	Behörigheter	Databaser	Tables	Externa tabeller	Materialiserade vyer	Functions
admins	Visa, ändra och ta bort objektet och underobjekten.	✔️	✔️	✔️	✔️	✔️
users	Visa objektet och skapa nya underobjekt.	✔️
viewers	Visa objektet där RestrictedViewAccess inte är aktiverat.	✔️
unrestrictedviewers	Visa objektet även där RestrictedViewAccess är aktiverat. Huvudkontot måste också ha admins, viewers eller users behörigheter.	✔️
ingestors	Mata in data till objektet utan åtkomst till frågor.	✔️	✔️
monitors	Visa metadata som scheman, åtgärder och behörigheter.	✔️

En fullständig beskrivning av säkerhetsrollerna i varje omfång finns i Kusto-rollbaserad åtkomstkontroll.

Anteckning

Det går inte att tilldela viewer rollen för endast vissa tabeller i databasen. Olika metoder för hur du beviljar en huvudvyåtkomst till en delmängd tabeller finns i Hantera åtkomst till tabellvyer.

Vanliga scenarier

Visa dina roller i klustret

Om du vill se dina egna roller i klustret kör du följande kommando:

.show cluster principal roles

Visa dina roller på en resurs

Om du vill kontrollera de roller som tilldelats dig på en specifik resurs kör du följande kommando i den relevanta databasen eller databasen som innehåller resursen:

// For a database:
.show database DatabaseName principal roles

// For a table:
.show table TableName principal roles

// For an external table:
.show external table ExternalTableName principal roles

// For a function:
.show function FunctionName principal roles

// For a materialized view:
.show materialized-view MaterializedViewName principal roles

Visa rollerna för alla huvudkonton på en resurs

Om du vill se rollerna som tilldelats till alla huvudnamn för en viss resurs kör du följande kommando i den relevanta databasen eller databasen som innehåller resursen:

// For a database:
.show database DatabaseName principals

// For a table:
.show table TableName principals

// For an external table:
.show external table ExternalTableName principals

// For a function:
.show function FunctionName principals

// For a materialized view:
.show materialized-view MaterializedViewName principals

Tips

Använd operatorn where för att filtrera resultatet efter ett specifikt huvudnamn eller en viss roll.

Ändra rolltilldelningarna

Mer information om hur du ändrar dina rolltilldelningar på databas- och tabellnivå finns i Hantera databassäkerhetsroller och Hantera tabellsäkerhetsroller.

Relaterat innehåll

• Kusto-rollbaserad åtkomstkontroll
• Referera till säkerhetsobjekt