Použití řízení přístupu na základě role se službou Azure Cosmos DB for Table (Preview)

• Platí pro:

  ✅ Table

Diagram posloupnosti průvodce nasazením, včetně těchto umístění, v uvedeném pořadí: Přehled, Koncepty, Příprava, Řízení přístupu na základě role a Reference Umístění Řízení přístupu na základě role je aktuálně zvýrazněné.

Tento článek vás provede postupem udělení přístupu k identitě pro správu dat v účtu služby Azure Cosmos DB for Table. Kroky v tomto článku pokrývají pouze přístup roviny dat k provádění operací s jednotlivými položkami a spouštění dotazů.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
• Existující účet služby Azure Cosmos DB for Table.
• Jedna nebo více existujících identit v Microsoft Entra ID.

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

Příprava definice role

Nejprve musíte připravit definici role se seznamem dataActions pro udělení přístupu ke čtení, dotazování a správě dat ve službě Azure Cosmos DB for Table.

Integrovaná definice

Nejprve získejte identifikátor prostředku existujícího účtu služby Azure Cosmos DB pro tabulku a az cosmsodb show uložte ho do proměnné. Pak vypíšete seznam všech definic rolí přidružených k vašemu účtu tabulky Azure Cosmos DB pomocí az rest. Nakonec si prohlédněte výstup a vyhledejte definici role s názvem Předdefinovaný přispěvatel dat cosmos DB. Výstup obsahuje jedinečný identifikátor definice role ve id vlastnosti. Tuto hodnotu si poznamenejte, protože je potřeba ji použít v kroku přiřazení dále v tomto průvodci.

resourceId=$( \
    az cosmosdb show \
        --resource-group "<name-of-existing-resource-group>" \
        --name "<name-of-existing-table-account>" \
        --query "id" \
        --output tsv \
)

az rest \
    --method "GET" \
    --url $resourceId/tableRoleDefinitions?api-version=2023-04-15

[
  ...,
  {
    "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/tableRoleDefinitions/00000000-0000-0000-0000-000000000002",
    "name": "00000000-0000-0000-0000-000000000002",
    "properties": {
      "assignableScopes": [
        "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql"
      ],
      "permissions": [
        {
          "dataActions": [
            "Microsoft.DocumentDB/databaseAccounts/readMetadata",
            "Microsoft.DocumentDB/databaseAccounts/tables/*",
            "Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/*"
          ],
          "notDataActions": []
        }
      ],
      "roleName": "Cosmos DB Built-in Data Contributor",
      "type": "BuiltInRole"
    },
    "type": "Microsoft.DocumentDB/databaseAccounts/tableRoleDefinitions"
  }
  ...
]

Poznámka:

V tomto příkladu id by hodnota byla /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/tableRoleDefinitions/00000000-0000-0000-0000-000000000002. Tento příklad používá fiktivní data a váš identifikátor by se od tohoto příkladu odlišil. Tento příklad výstupu je zkrácený.

Slouží Get-AzCosmosDBAccount k získání identifikátoru prostředku existujícího účtu služby Azure Cosmos DB for Table a jeho uložení do proměnné. Pak použijte Invoke-AzRestMethod k výpisu všech definic rolí přidružených k vašemu účtu tabulky Azure Cosmos DB. Zkontrolujte výstup a vyhledejte definici role s názvem Předdefinovaný přispěvatel dat Cosmos DB. Výstup obsahuje jedinečný identifikátor definice role ve Id vlastnosti. Tuto hodnotu si poznamenejte, protože je potřeba ji použít v kroku přiřazení dále v tomto průvodci.

$parameters = @{
    ResourceGroupName = "<name-of-existing-resource-group>"
    Name = "<name-of-existing-table-account>"
}
$resourceId = (
    Get-AzCosmosDBAccount @parameters |
        Select-Object -Property Id -First 1
).Id

$parameters = @{
  Path = "$resourceId/tableRoleDefinitions?api-version=2023-04-15"
  Method = "GET"
}
Invoke-AzRestMethod @parameters

StatusCode : 200
Content    : {
               "value": [
                ...,
                {
                  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/tableRoleDefinitions/00000000-0000-0000-0000-000000000002",
                  "name": "00000000-0000-0000-0000-000000000002",
                  "properties": {
                    "assignableScopes": [
                      "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql"
                    ],
                    "permissions": [
                      {
                        "dataActions": [
                          "Microsoft.DocumentDB/databaseAccounts/readMetadata",
                          "Microsoft.DocumentDB/databaseAccounts/tables/*",
                          "Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/*"
                        ],
                        "notDataActions": []
                      }
                    ],
                    "roleName": "Cosmos DB Built-in Data Contributor",
                    "type": "BuiltInRole"
                  },
                  "type": "Microsoft.DocumentDB/databaseAccounts/tableRoleDefinitions"
                }
                ...
               ]
             }
...

Poznámka:

V tomto příkladu Id by hodnota byla /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/tableRoleDefinitions/00000000-0000-0000-0000-000000000002. Tento příklad používá fiktivní data a váš identifikátor by se od tohoto příkladu odlišil. Tento příklad výstupu je zkrácený.

Vlastní definice

1. Vytvořte nový soubor JSON s názvem role-definition.json. V tomto souboru vytvořte definici prostředku, která určuje akce dat uvedené tady:

   	Popis
   Microsoft.DocumentDB/databaseAccounts/readMetadata	Může číst metadata na úrovni účtu.
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*	Může provádět jakékoli operace s daty na úrovni kontejneru.
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*	Může provádět jakoukoli operaci s položkami s kontejnery.

   {
     "properties": {
       "roleName": "Azure Cosmos DB for Table Data Plane Owner",
       "type": "CustomRole",
       "assignableScopes": [
         "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/sidandrews-rbac/providers/Microsoft.DocumentDB/databaseAccounts/sidandrews-rbac-table/"
       ],
       "permissions": [
         {
           "dataActions": [
             "Microsoft.DocumentDB/databaseAccounts/readMetadata",
             "Microsoft.DocumentDB/databaseAccounts/tables/*",
             "Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/*"
           ]
         }
       ]
     }
   }
   

2. Teď vytvořte nebo aktualizujte definici role pomocí az cosmosdb show a az rest společně za účelem vydání požadavku HTTP PUT . V rámci tohoto požadavku zadejte jedinečný identifikátor GUID pro definici vaší role.

   resourceId=$( \
       az cosmosdb show \
           --resource-group "<name-of-existing-resource-group>" \
           --name "<name-of-existing-table-account>" \
           --query "id" \
           --output tsv \
   )
   
   az rest \
       --method "PUT" \
       --url $resourceId/tableRoleDefinitions/d3d3d3d3-eeee-ffff-aaaa-b4b4b4b4b4b4?api-version=2023-04-15 \
       --body @role-definition.json
   

   Poznámka:

   V tomto příkladu byl d3d3d3d3-eeee-ffff-aaaa-b4b4b4b4b4b4zadaný jedinečný identifikátor GUID . Pro definici vlastní role můžete zadat libovolný jedinečný identifikátor GUID.

3. Výstup by teď měl znamenat, že se požadavek zařadí do fronty. Teď počkejte, než se dokončí nasazení definice role ve frontě. Tento úkol může trvat několik minut.

   {
     "status": "Enqueued"
   }
   

4. Nakonec znovu zkontrolujte seznam definic rolí.az rest

   resourceId=$( \
       az cosmosdb show \
           --resource-group "<name-of-existing-resource-group>" \
           --name "<name-of-existing-table-account>" \
           --query "id" \
           --output tsv \
   )
   
   az rest \
       --method "GET" \
       --url $resourceId/tableRoleDefinitions?api-version=2023-04-15
   

1. Vytvořte nový soubor Bicep, který definuje definici vaší role. Pojmenujte soubor data-plane-role-definition.bicep. Přidejte je dataActions do definice:

   	Popis
   Microsoft.DocumentDB/databaseAccounts/readMetadata
   Microsoft.DocumentDB/databaseAccounts/tables/*
   Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/*

   metadata description = 'Create RBAC definition for data plane access to Azure Cosmos DB for Table.'
   
   @description('Name of the Azure Cosmos DB for Table account.')
   param accountName string
   
   @description('Name of the role definition.')
   param roleDefinitionName string = 'API for Table Data Plane Owner'
   
   resource account 'Microsoft.DocumentDB/databaseAccounts@2023-04-15' existing = {
     name: accountName
   }
   
   resource definition 'Microsoft.DocumentDB/databaseAccounts/tableRoleDefinitions@2023-04-15' = {
     name: guid('table-role-definition', account.id)
     parent: account
     properties: {
       roleName: roleDefinitionName
       type: 'CustomRole'
       assignableScopes: [
         account.id
       ]
       permissions: [
         {
           dataActions: [
             'Microsoft.DocumentDB/databaseAccounts/readMetadata'
             'Microsoft.DocumentDB/databaseAccounts/tables/*'
             'Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/*'
           ]
         }
       ]
     }
   }
   
   output definitionId string = definition.id
   

2. Vytvořte nový soubor parametrů Bicep s názvem data-plane-role-definition.bicepparam. V tomto souboru parametrů přiřaďte parametru název existujícího účtu accountName služby Azure Cosmos DB for Table.

   using './data-plane-role-definition.bicep'
   
   param accountName = '<name-of-existing-table-account>'
   

3. Nasaďte šablonu Bicep pomocí az deployment group create. Zadejte název šablony Bicep, souboru parametrů a skupiny prostředků Azure.

   az deployment group create \
       --resource-group "<name-of-existing-resource-group>" \
       --parameters data-plane-role-definition.bicepparam \
       --template-file data-plane-role-definition.bicep
   

4. Zkontrolujte výstup z nasazení. Výstup obsahuje jedinečný identifikátor definice role ve properties.outputs.definitionId.value vlastnosti. Tuto hodnotu si poznamenejte, protože je potřeba ji použít v kroku přiřazení dále v tomto průvodci.

   {
     "properties": {
       "outputs": {
         "definitionId": {
           "type": "String",
           "value": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-table-account/tableRoleDefinitions/dddddddd-9999-0000-1111-eeeeeeeeeeee"
         }
       }
     }
   }
   

   Poznámka:

   V tomto příkladu id by hodnota byla /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-table-account/tableRoleDefinitions/dddddddd-9999-0000-1111-eeeeeeeeeeee. Tento příklad používá fiktivní data a váš identifikátor by se od tohoto příkladu odlišil. Jedná se o podmnožinu typického formátu JSON, který se vypíše z nasazení, aby bylo jasné.

1. Vytvořte nebo aktualizujte definici role pomocí Get-AzCosmosDBAccount a Invoke-AzRestMethod společně za účelem vydání požadavku HTTP PUT . V rámci tohoto požadavku také zadejte jedinečný identifikátor GUID pro definici vaší role. Nakonec vytvořte datovou část definice prostředku, která určuje akce dat uvedené tady:

   	Popis
   Microsoft.DocumentDB/databaseAccounts/readMetadata	Může číst metadata na úrovni účtu.
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*	Může provádět jakékoli operace s daty na úrovni kontejneru.
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*	Může provádět jakoukoli operaci s položkami s kontejnery.

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       Name = "<name-of-existing-table-account>"
   }
   $resourceId = (
       Get-AzCosmosDBAccount @parameters |
           Select-Object -Property Id -First 1
   ).Id
   
   $payload = @{
     properties = @{
       roleName = "Azure Cosmos DB for Table Data Plane Owner"
       type = "CustomRole"
       assignableScopes = @(
         "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/sidandrews-rbac/providers/Microsoft.DocumentDB/databaseAccounts/sidandrews-rbac-table/"
       )
       permissions = @(
         @{
           dataActions = @(
             "Microsoft.DocumentDB/databaseAccounts/readMetadata",
             "Microsoft.DocumentDB/databaseAccounts/tables/*",
             "Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/*"
           )
         }
       )
     }
   }
   
   $parameters = @{
     Path = "$resourceId/tableRoleDefinitions/d3d3d3d3-eeee-ffff-aaaa-b4b4b4b4b4b4?api-version=2023-04-15"
     Method = "PUT"
     Payload = $payload | ConvertTo-Json -Depth 4
   }
   Invoke-AzRestMethod @parameters
   

   Poznámka:

   V tomto příkladu byl d3d3d3d3-eeee-ffff-aaaa-b4b4b4b4b4b4zadaný jedinečný identifikátor GUID . Pro definici vlastní role můžete zadat libovolný jedinečný identifikátor GUID.

2. Výstup by se měl vrátit se stavovým kódem 200. Teď počkejte, než se dokončí nasazení definice role ve frontě. Tento úkol může trvat několik minut.

   StatusCode : 200
   ...
   

3. Nakonec znovu zkontrolujte seznam definic rolí.Invoke-AzRestMethod

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       Name = "<name-of-existing-table-account>"
   }
   $resourceId = (
       Get-AzCosmosDBAccount @parameters |
           Select-Object -Property Id -First 1
   ).Id
   
   $parameters = @{
     Path = "$resourceId/tableRoleDefinitions?api-version=2023-04-15"
     Method = "GET"
   }
   Invoke-AzRestMethod @parameters
   

Přiřazení role identitě

Teď přiřaďte nově definovanou roli identitě, aby vaše aplikace mohly přistupovat k datům ve službě Azure Cosmos DB for Table.

Důležité

Tento úkol přiřazení vyžaduje, abyste měli jedinečný identifikátor jakékoli identity, kterou chcete udělit oprávnění řízení přístupu na základě role. Pokud nemáte jedinečný identifikátor identity, postupujte podle pokynů v průvodci vytvořením spravované identity nebo získejte příručky pro přihlášení k identitě .

1. Slouží az cosmosdb show k získání jedinečného identifikátoru pro váš aktuální účet.

   az cosmosdb show \
       --resource-group "<name-of-existing-resource-group>" \
       --name "<name-of-existing-resource-group>" \
       --query "{id:id}"
   

2. Prohlédněte si výstup předchozího příkazu. Poznamenejte si hodnotu id vlastnosti pro tento účet, protože je nutné ji použít v dalším kroku.

   {
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql"
   }
   

   Poznámka:

   V tomto příkladu id by hodnota byla /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql. Tento příklad používá fiktivní data a váš identifikátor by se od tohoto příkladu odlišil.

3. Vytvořte nový soubor JSON s názvem role-assignment.json. Do souboru JSON přidejte jedinečný identifikátor vaší identity a jedinečný identifikátor prostředku účtu.

   {
     "properties": {
       "roleDefinitionId": "<account-resource-id>/tableRoleDefinitions/d3d3d3d3-eeee-ffff-aaaa-b4b4b4b4b4b4",
       "scope": "<account-resource-id>",
       "principalId": "<id-of-existing-identity>"
     }
   }
   

   Poznámka:

   V tomto příkladu byl d3d3d3d3-eeee-ffff-aaaa-b4b4b4b4b4b4zadaný jedinečný identifikátor GUID . Jedinečný identifikátor GUID, který jste použili dříve pro vlastní definici role, můžete použít.

4. Teď vytvořte nebo aktualizujte přiřazení role pomocí az cosmosdb show a az rest společně za účelem vydání požadavku HTTP PUT . V rámci tohoto požadavku zadejte jedinečný identifikátor GUID pro přiřazení role.

   resourceId=$( \
       az cosmosdb show \
           --resource-group "<name-of-existing-resource-group>" \
           --name "<name-of-existing-table-account>" \
           --query "id" \
           --output tsv \
   )
   
   az rest \
       --method "PUT" \
       --url $resourceId/tableRoleAssignments/e4e4e4e4-ffff-aaaa-bbbb-c5c5c5c5c5c5?api-version=2023-04-15 \
       --body @role-assignment.json
   

   Poznámka:

   V tomto příkladu byl e4e4e4e4-ffff-aaaa-bbbb-c5c5c5c5c5c5zadaný jedinečný identifikátor GUID . Můžete zadat libovolný jedinečný identifikátor GUID pro vlastní přiřazení role.

1. Vytvořte další soubor Bicep pro přiřazení role k identitě. Pojmenujte tento soubor data-rovina-role-assignment.bicep.

   metadata description = 'Assign RBAC role for data plane access to Azure Cosmos DB for Table.'
   
   @description('Name of the Azure Cosmos DB for Table account.')
   param accountName string
   
   @description('Id of the role definition to assign to the targeted principal in the context of the account.')
   param roleDefinitionId string
   
   @description('Id of the identity/principal to assign this role in the context of the account.')
   param identityId string
   
   resource account 'Microsoft.DocumentDB/databaseAccounts@2023-04-15' existing = {
     name: accountName
   }
   
   resource assignment 'Microsoft.DocumentDB/databaseAccounts/tableRoleAssignments@2023-04-15' = {
     name: guid(roleDefinitionId, identityId, account.id)
     parent: account
     properties: {
       principalId: identityId
       roleDefinitionId: roleDefinitionId
       scope: account.id
     }
   }
   
   output id string = assignment.id
   

2. Vytvořte nový soubor parametrů Bicep s názvem data-plane-role-assignment.bicepparam. V tomto souboru parametrů; přiřaďte k parametru název existujícího účtu accountName služby Azure Cosmos DB for Table, dříve zaznamenané identifikátory roleDefinitionId definic rolí parametru a jedinečný identifikátor vaší identity k parametru identityId .

   using './data-plane-role-assignment.bicep'
   
   param accountName = '<name-of-existing-table-account>'
   param roleDefinitionId = '<id-of-new-role-definition>'
   param identityId = '<id-of-existing-identity>'
   

3. Nasaďte tuto šablonu Bicep pomocí az deployment group create.

   az deployment group create \
       --resource-group "<name-of-existing-resource-group>" \
       --parameters data-plane-role-assignment.bicepparam \
       --template-file data-plane-role-assignment.bicep
   

4. Pokud chcete udělit přístup k účtu z jiných identit, které chcete použít, opakujte tyto kroky.

   Tip

   Tento postup můžete opakovat pro tolik identit, kolik chcete. Tyto kroky se obvykle opakují, aby vývojáři měli přístup k účtu pomocí své lidské identity a povolili aplikacím přístup pomocí spravované identity.

1. Pomocí rutiny Get-AzCosmosDBAccount získejte jedinečný identifikátor vašeho aktuálního účtu.

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       Name = "<name-of-existing-nosql-account>"
   }
   Get-AzCosmosDBAccount @parameters | Select -Property Id
   

2. Prohlédněte si výstup předchozího příkazu. Poznamenejte si hodnotu Id vlastnosti pro tento účet, protože je nutné ji použít v dalším kroku.

   Id
   --    
   /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql
   

   Poznámka:

   V tomto příkladu Id by hodnota byla /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql. Tento příklad používá fiktivní data a váš identifikátor by se od tohoto příkladu odlišil.

3. Teď vytvořte nebo aktualizujte přiřazení role pomocí Get-AzCosmosDBAccount a Invoke-AzRestMethod společně za účelem vydání požadavku HTTP PUT . V rámci tohoto požadavku zadejte jedinečný identifikátor GUID pro přiřazení role. Nakonec vytvořte datovou část přiřazení zdroje, která určuje jedinečný identifikátor vaší identity.

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       Name = "<name-of-existing-table-account>"
   }
   $resourceId = (
       Get-AzCosmosDBAccount @parameters |
           Select-Object -Property Id -First 1
   ).Id    
   
   $payload = @{
     properties = @{
       roleDefinitionId = "$resourceId/tableRoleDefinitions/00000000-0000-0000-0000-000000000002"
       scope = "$resourceId"
       principalId = "<id-of-existing-identity>"
     }
   }
   
   $parameters = @{
     Path = "$resourceId/tableRoleAssignments/e4e4e4e4-ffff-aaaa-bbbb-c5c5c5c5c5c5?api-version=2023-04-15"
     Method = "PUT"
     Payload = $payload | ConvertTo-Json -Depth 2
   }
   Invoke-AzRestMethod @parameters
   

   Poznámka:

   V tomto příkladu byl e4e4e4e4-ffff-aaaa-bbbb-c5c5c5c5c5c5zadaný jedinečný identifikátor GUID . Můžete zadat libovolný jedinečný identifikátor GUID pro vlastní přiřazení role.

Ověření přístupu k rovině dat v kódu

Nakonec ověřte, že jste správně udělili přístup pomocí kódu aplikace a sady Azure SDK ve vašem preferovaném programovacím jazyce.

C#

using Azure.Identity;
using Azure.Data.Tables;

string endpoint = "<account-endpoint>";

DefaultAzureCredential credential = new();

TableServiceClient client = new(
    endpoint: new Uri(endpoint),
    tokenCredential: credential
);

TableClient table = client.GetTableClient(
    tableName: "<name-of-table>"
);

Důležité

Tento vzorový kód používá knihovny Azure.Data.Tables z Azure.Identity NuGetu.

JavaScript

const { TableServiceClient, TableClient } = require('@azure/data-tables');
const { DefaultAzureCredential } = require('@azure/identity');

const endpoint = '<account-endpoint>';

let credential = new DefaultAzureCredential();

let client = new TableServiceClient(endpoint, credential);

let table = new TableClient(endpoint, "<table-name>", credential);

Důležité

Tento vzorový kód používá @azure/data-tables balíčky a @azure/identity balíčky z npm.

TypeScript

import { TableServiceClient, TableClient } from '@azure/data-tables';
import { TokenCredential, DefaultAzureCredential } from '@azure/identity';

const endpoint: string = '<account-endpoint>';

let credential: TokenCredential = new DefaultAzureCredential();

let client: TableServiceClient = new TableServiceClient(endpoint, credential);

let table: TableClient = new TableClient(endpoint, "<table-name>", credential);

Důležité

Tento vzorový kód používá @azure/data-tables balíčky a @azure/identity balíčky z npm.

Python

from azure.data.tables import TableServiceClient, TableClient
from azure.identity import DefaultAzureCredential

endpoint = "<account-endpoint>"

credential = DefaultAzureCredential()

client = TableServiceClient(endpoint, credential=credential)

table = client.get_table_client("<table-name>")

Důležité

Tento vzorový kód používá azure-data-tables balíčky azure-identity z PyPI.

Přejít

package main

import (
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
    "github.com/Azure/azure-sdk-for-go/sdk/data/aztables"
)

const endpoint = "<account-endpoint>"

func main() {
    credential, _ := azidentity.NewDefaultAzureCredential(nil)
    client, _ := aztables.NewServiceClient(endpoint, credential, nil)
    table, _ := client.NewClient("<table-name>")
}

Důležité

Tento vzorový kód používá azure/azure-sdk-for-go/sdk/data/aztables balíčky azure/azure-sdk-for-go/sdk/azidentity z Go.

Java

import com.azure.data.tables.TableClient;
import com.azure.data.tables.TableServiceClient;
import com.azure.data.tables.TableServiceClientBuilder;
import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;

public class Table{
    public static void main(String[] args){
        DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
            .build();
        
        TableServiceClient client = new TableServiceClientBuilder()
            .endpoint("<nosql-endpoint>")
            .credential(credential)
            .buildClient();

        TableClient table = client
            .getTableClient("<table-name>");
    }
}

Důležité

Tyto ukázky kódu používají com.azure/azure-data-tables balíčky com.azure/azure-identity z Mavenu.

Upozorňující

Pokud používáte spravovanou identitu přiřazenou uživatelem, budete muset jako součást vytváření objektu přihlašovacích údajů zadat jedinečný identifikátor spravované identity.