Řízení přístupu na základě role
Platí pro: ✅Microsoft Fabric✅Azure Data Explorer
Azure Data Explorer používá model řízení přístupu na základě role (RBAC), ve kterém objekty zabezpečení získávají přístup k prostředkům na základě jejich přiřazených rolí. Role jsou definovány pro konkrétní cluster, databázi, tabulku, externí tabulku, materializované zobrazení nebo funkci. Pokud je tato role definovaná pro cluster, vztahuje se na všechny databáze v clusteru. Pokud je pro databázi definovaná, role se vztahuje na všechny entity v databázi.
Role Azure Resource Manageru (ARM), jako je vlastník předplatného nebo vlastník clusteru, uděluje přístupová oprávnění pro správu prostředků. Pro správu dat potřebujete role popsané v tomto dokumentu.
Poznámka:
K odstranění databáze potřebujete alespoň oprávnění ARM přispěvatele v clusteru. Pokud chcete přiřadit oprávnění ARM, přečtěte si téma Přiřazení rolí Azure pomocí webu Azure Portal.
Inteligentní funkce v reálném čase v prostředcích infrastruktury používá model řízení přístupu na základě role (RBAC), ve kterém objekty zabezpečení získávají přístup k prostředkům na základě přiřazených rolí udělených z jednoho nebo obou zdrojů: Prostředků infrastruktury a příkazů pro správu Kusto. Uživatel bude mít sjednocení rolí udělených z obou zdrojů.
V rámci prostředků infrastruktury je možné role přiřadit nebo zdědit přiřazením role v pracovním prostoru nebo sdílením konkrétní položky na základě modelu oprávnění položky.
Role prostředků infrastruktury
Role | Oprávnění udělená u položek |
---|---|
Správce pracovního prostoru | Role RBAC správce u všech položek v pracovním prostoru. |
Člen pracovního prostoru | Role RBAC správce u všech položek v pracovním prostoru. |
Přispěvatel pracovního prostoru | Role RBAC správce u všech položek v pracovním prostoru. |
Prohlížeč pracovních prostorů | Role RBAC prohlížeče u všech položek v pracovním prostoru. |
Editor položek | Role RBAC správce položky |
Prohlížeč položek | Role RBAC prohlížeče u položky |
Role lze dále definovat v rovině dat pro konkrétní databázi, tabulku, externí tabulku, materializované zobrazení nebo funkci pomocí příkazů pro správu. V obou případech se role použité na vyšší úrovni (Pracovní prostor, Eventhouse) dědí nižšími úrovněmi (Databáze, Tabulka).
Role a oprávnění
Následující tabulka popisuje role a oprávnění dostupná v jednotlivých oborech.
Ve sloupci Oprávnění se zobrazí přístup udělený jednotlivým rolím.
Sloupec Závislosti obsahuje seznam minimálních rolí potřebných k získání role v daném řádku. Chcete-li se například stát správcem tabulky, musíte mít nejprve roli, jako je uživatel databáze nebo role, která zahrnuje oprávnění uživatele databáze, jako je správce databáze nebo Správce databáze AllDatabasesAdmin. Pokud je ve sloupci Závislosti uvedeno více rolí, k získání role je potřeba pouze jeden z nich.
Sloupec Způsob získání role nabízí způsoby, jak může být role udělena nebo zděděna.
Sloupec Spravovat nabízí způsoby přidání nebo odebrání objektů zabezpečení role.
Obor | Role | Oprávnění | Závislosti | Spravovat |
---|---|---|---|---|
Cluster | AllDatabasesAdmin | Úplné oprávnění ke všem databázím v clusteru. Může zobrazovat a měnit určité zásady na úrovni clusteru. Zahrnuje všechna oprávnění. | Azure Portal | |
Cluster | AllDatabasesViewer | Přečtěte si všechna data a metadata libovolné databáze v clusteru. | Azure Portal | |
Cluster | AllDatabasesMonitor | Spusťte .show příkazy v kontextu jakékoli databáze v clusteru. |
Azure Portal | |
Databáze | Správce | Úplné oprávnění v oboru konkrétní databáze. Zahrnuje všechna oprávnění nižší úrovně. | Příkazy pro správu nebo portál Azure Portal | |
Databáze | Uživatelská | Přečtěte si všechna data a metadata databáze. Vytvořte tabulky a funkce a staňte se správcem těchto tabulek a funkcí. | Příkazy pro správu nebo portál Azure Portal | |
Databáze | Prohlížející | Přečtěte si všechna data a metadata s výjimkou tabulek se zapnutými zásadami RestrictedViewAccess. | Příkazy pro správu nebo portál Azure Portal | |
Databáze | Unrestrictedviewer | Přečtěte si všechna data a metadata, včetně tabulek se zapnutými zásadami RestrictedViewAccess. | Prohlížeč databáze nebo uživatel databáze | Příkazy pro správu nebo portál Azure Portal |
Databáze | Ingestor | Ingestování dat do všech tabulek v databázi bez přístupu k dotazování na data. | Příkazy pro správu nebo portál Azure Portal | |
Databáze | Monitor | Spouštět .show příkazy v kontextu databáze a jejích podřízených entit. |
Příkazy pro správu nebo portál Azure Portal | |
Table | Správce | Úplná oprávnění v oboru konkrétní tabulky. | Uživatel databáze | příkazy pro správu |
Table | Ingestor | Ingestování dat do tabulky bez přístupu k dotazování na data | Databázový uživatel nebo databázový ingestor | příkazy pro správu |
externí tabulka | Správce | Úplná oprávnění v oboru konkrétní externí tabulky. | Prohlížeč databáze nebo uživatel databáze | příkazy pro správu |
Materializované zobrazení | Správce | Úplné oprávnění ke změně zobrazení, odstranění zobrazení a udělení oprávnění správce jinému objektu zabezpečení. | Uživatel databáze nebo správce tabulek | příkazy pro správu |
Function | Správce | Úplná oprávnění ke změně funkce, odstranění funkce a udělení oprávnění správce jinému objektu zabezpečení. | Uživatel databáze nebo správce tabulek | příkazy pro správu |
Obor | Role | Oprávnění | Jak se role získá |
---|---|---|---|
Eventhouse | AllDatabasesAdmin | Úplná oprávnění ke všem databázím v Eventhouse. Může zobrazovat a měnit určité zásady na úrovni eventhouse. Zahrnuje všechna oprávnění. | – Zděděno jako správce pracovního prostoru, člen pracovního prostoru nebo přispěvatel pracovního prostoru. Nejde přiřadit příkazy pro správu. |
Databáze | Správce | Úplné oprávnění v oboru konkrétní databáze. Zahrnuje všechna oprávnění nižší úrovně. | – Zděděno jako správce pracovního prostoru, člen pracovního prostoru nebo přispěvatel pracovního prostoru - Položka sdílená s oprávněními pro úpravy – Přiřazeno pomocí příkazů pro správu |
Databáze | Uživatelská | Přečtěte si všechna data a metadata databáze. Vytvořte tabulky a funkce a staňte se správcem těchto tabulek a funkcí. | – Přiřazeno pomocí příkazů pro správu |
Databáze | Prohlížející | Přečtěte si všechna data a metadata s výjimkou tabulek se zapnutými zásadami RestrictedViewAccess. | - Položka sdílená s oprávněními k prohlížení – Přiřazeno pomocí příkazů pro správu |
Databáze | Unrestrictedviewer | Přečtěte si všechna data a metadata, včetně tabulek se zapnutými zásadami RestrictedViewAccess. | - Přiřazeno příkazy pro správu. Závisí na tom, že uživatel databáze nebo prohlížeč databáze. |
Databáze | Ingestor | Ingestování dat do všech tabulek v databázi bez přístupu k dotazování na data. | – Přiřazeno pomocí příkazů pro správu |
Databáze | Monitor | Spouštět .show příkazy v kontextu databáze a jejích podřízených entit. |
– Přiřazeno pomocí příkazů pro správu |
Table | Správce | Úplná oprávnění v oboru konkrétní tabulky. | – Zděděno jako správce pracovního prostoru, člen pracovního prostoru nebo přispěvatel pracovního prostoru – Nadřazená položka (databáze KQL) sdílená s oprávněními pro úpravy - Přiřazeno příkazy pro správu. Závisí na tom, že má uživatel databáze na nadřazené databázi. |
Table | Ingestor | Ingestování dat do tabulky bez přístupu k dotazování na data | - Přiřazeno příkazy pro správu. Závisí na tom, že má uživatel databáze nebo ingestor databáze v nadřazené databázi. |
externí tabulka | Správce | Úplná oprávnění v oboru konkrétní externí tabulky. | - Přiřazeno příkazy pro správu. Závisí na tom, že má uživatel databáze nebo prohlížeč databáze na nadřazené databázi. |
Materializované zobrazení | Správce | Úplné oprávnění ke změně zobrazení, odstranění zobrazení a udělení oprávnění správce jinému objektu zabezpečení. | – Zděděno jako správce pracovního prostoru, člen pracovního prostoru nebo přispěvatel pracovního prostoru – Nadřazená položka (databáze KQL) sdílená s oprávněními pro úpravy - Přiřazeno příkazy pro správu. Závisí na tom, že má uživatel databáze nebo správce tabulky na nadřazených položkách. |
Function | Správce | Úplná oprávnění ke změně funkce, odstranění funkce a udělení oprávnění správce jinému objektu zabezpečení. | – Zděděno jako správce pracovního prostoru, člen pracovního prostoru nebo přispěvatel pracovního prostoru – Nadřazená položka (databáze KQL) sdílená s oprávněními pro úpravy - Přiřazeno příkazy pro správu. Závisí na tom, že má uživatel databáze nebo správce tabulky na nadřazených položkách. |