Kusto 角色型存取控制
Kusto 會使用角色型存取控制 (RBAC) 模型, 主體 會根據其指派的角色存取資源。 角色是針對特定叢集、資料庫、資料表、外部資料表、具體化檢視或函式所定義。 為叢集定義時,角色會套用至叢集中的所有資料庫。 針對資料庫定義時,角色會套用至資料庫中的所有實體。
Azure Resource Manager (ARM) 角色,例如訂用帳戶擁有者或叢集擁有者,授與資源管理的存取權限。 針對資料管理,您需要本檔中所述的角色。
注意
若要刪除資料庫,您至少需要叢集的 參與者 ARM 許可權。 若要指派 ARM 許可權,請參閱使用Azure 入口網站指派 Azure 角色。
角色與權限
下表概述每個範圍中可用的角色和許可權。
[ 許可權] 資料 行會顯示授與每個角色的存取權。
[ 相依性 ] 資料行會列出取得該資料列中角色所需的最低角色。 例如,若要成為資料表管理員,您必須先擁有資料庫使用者之類的角色,或是包含資料庫使用者許可權的角色,例如資料庫管理員或 AllDatabasesAdmin。 當 [ 相依性 ] 資料行中列出多個角色時,只需要其中一個角色才能取得角色。
[管理] 資料行提供新增或移除角色主體的方式。
範圍 | 角色 | 權限 | 相依性 | 管理 |
---|---|---|---|---|
叢集 | AllDatabasesAdmin | 叢集中所有資料庫的完整許可權。 可能會顯示和改變特定叢集層級原則。 包含擁有權限。 | Azure 入口網站 | |
叢集 | AllDatabasesViewer | 讀取叢集中任何資料庫的所有資料和中繼資料。 | Azure 入口網站 | |
叢集 | AllDatabasesMonitor | 在叢集中的任何資料庫內容中執行 .show 命令。 |
Azure 入口網站 | |
資料庫 | 管理 | 特定資料庫範圍內的完整許可權。 包含所有較低層級的權限。 | Azure 入口網站或管理命令 | |
資料庫 | 使用者 | 讀取資料庫的所有資料和中繼資料。 建立資料表和函式,並成為這些資料表和函式的系統管理員。 | Azure 入口網站或管理命令 | |
資料庫 | 檢視者 | 讀取所有資料和中繼資料,但開啟 RestrictedViewAccess 原則 的資料表除外。 | Azure 入口網站或管理命令 | |
資料庫 | 不受限制的檢視者 | 讀取所有資料和中繼資料,包括開啟 RestrictedViewAccess 原則 的資料表。 | 資料庫使用者或資料庫檢視器 | Azure 入口網站或管理命令 |
資料庫 | 擷取器 | 將資料內嵌至資料庫中的所有資料表,而不需要存取查詢資料。 | Azure 入口網站或管理命令 | |
資料庫 | 監視器 | 在資料庫及其子實體的內容中執行 .show 命令。 |
Azure 入口網站或管理命令 | |
資料表 | 管理 | 特定資料表範圍內的完整許可權。 | 資料庫使用者 | 管理命令 |
資料表 | 擷取器 | 擷取資料至資料表,而不需要存取查詢資料。 | 資料庫使用者或資料庫擷取器 | 管理命令 |
外部資料表 | 管理 | 特定外部資料表範圍內的完整許可權。 | 資料庫使用者或資料庫檢視器 | 管理命令 |
具體化檢視 | 管理 | 變更檢視、刪除檢視,以及將系統管理員許可權授與另一個主體的完整許可權。 | 資料庫使用者或資料表管理員 | 管理命令 |
函式 | 管理 | 變更函式、刪除函式,以及將系統管理員許可權授與另一個主體的完整許可權。 | 資料庫使用者或資料表管理員 | 管理命令 |
相關內容
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應