Správa rolí zabezpečení databáze
Platí pro: ✅Microsoft Fabric✅Azure Data Explorer
Objekty zabezpečení mají udělený přístup k prostředkům prostřednictvím modelu řízení přístupu na základě role, kde jejich přiřazené role zabezpečení určují přístup k prostředkům.
V tomto článku se dozvíte, jak pomocí příkazů pro správu zobrazit existující role zabezpečení a přidat a odstranit přidružení objektu zabezpečení k rolím zabezpečení na úrovni databáze.
Oprávnění
Ke spuštění těchto příkazů musíte mít alespoň oprávnění správce databáze.
Poznámka:
K odstranění databáze potřebujete alespoň oprávnění Azure Resource Manageru (ARM). Pokud chcete přiřadit oprávnění ARM, přečtěte si téma Přiřazení rolí Azure pomocí webu Azure Portal.
Role zabezpečení na úrovni databáze
Následující tabulka uvádí možné role zabezpečení na úrovni databáze a popisuje oprávnění udělená pro každou roli.
| Role | Oprávnění |
|---|---|
admins |
Umožňuje zobrazit a upravit entity databáze a databáze. |
users |
Zobrazte databázi a vytvořte nové databázové entity. |
viewers |
Zobrazte tabulky v databázi, kde není zapnutá technologie RestrictedViewAccess . |
unrestrictedviewers |
Zobrazte tabulky v databázi i tam, kde je zapnutá technologie RestrictedViewAccess . Objekt zabezpečení musí mít adminstaké oprávnění , viewersnebo users oprávnění. |
ingestors |
Příjem dat do databáze bez přístupu k dotazování |
monitors |
Umožňuje zobrazit metadata databáze, jako jsou schémata, operace a oprávnění. |
Poznámka:
Roli není možné přiřadit viewer jenom pro některé tabulky v databázi. Různé přístupy k udělení přístupu k podmnožině tabulek objektu zabezpečení najdete v tématu správa přístupu k zobrazení tabulek.
Zobrazení existujících rolí zabezpečení
Před přidáním nebo odebráním objektů zabezpečení můžete pomocí .show příkazu zobrazit tabulku se všemi objekty zabezpečení a rolemi, které už jsou v databázi nastavené.
Syntaxe
Zobrazení všech rolí:
.showdatabase Název databáze principals
Zobrazení rolí:
.showdatabase principal Název databáze roles
Přečtěte si další informace o konvencích syntaxe.
Parametry
| Název | Type | Požadováno | Popis |
|---|---|---|---|
| Název databáze | string |
✔️ | Název databáze, pro kterou chcete vypsat objekty zabezpečení. |
Příklad
Následující příkaz zobrazí seznam všech objektů zabezpečení, které mají přístup k Samples databázi.
.show database Samples principals
Příklad výstupu
| Role | PrincipalType | PrincipalDisplayName | PrincipalObjectId | PrincipalFQN |
|---|---|---|---|---|
| Správce ukázek databází | Uživatel Microsoft Entra | Abbi Atkins | cd709aed-a26c-e3953dec735e | aaduser=abbiatkins@fabrikam.com |
Přidání a vyřazení přidružení objektu zabezpečení k rolím zabezpečení
Tato část obsahuje syntaxi, parametry a příklady pro přidávání a odebírání objektů zabezpečení do a z rolí zabezpečení.
Syntaxe
Instanční objekt role ( databáze akce database [ , objekt zabezpečení...] ) [skip-results] [ Popis ]
Přečtěte si další informace o konvencích syntaxe.
Parametry
| Název | Type | Požadováno | Popis |
|---|---|---|---|
| Akce | string |
✔️ | .addPříkaz , .dropnebo .set..add přidá zadané objekty zabezpečení, .drop odebere zadané objekty zabezpečení a .set přidá zadané objekty zabezpečení a odebere všechny předchozí objekty zabezpečení. |
| Název databáze | string |
✔️ | Název databáze, pro kterou chcete přidat objekty zabezpečení. |
| Role | string |
✔️ | Role, která se má přiřadit k objektu zabezpečení. Pro databáze můžou být adminsrole , users, viewers, unrestrictedviewers, ingestors, nebo monitors. |
| Hlavní | string |
✔️ | Jeden nebo více objektů zabezpečení nebo spravovaných identit. Pokud chcete odkazovat na spravované identity, použijte formát "Aplikace" pomocí ID objektu spravované identity nebo ID klienta spravované identity (aplikace). Pokyny k určení těchto objektů zabezpečení najdete v tématu Odkazování na objekty zabezpečení a skupiny Microsoft Entra. |
skip-results |
string |
Pokud je k dispozici, příkaz nevrátí aktualizovaný seznam objektů zabezpečení databáze. | |
| Popis | string |
Text popisující změnu, která se zobrazí při použití .show příkazu |
| Name | Type | Požadováno | Popis |
|---|---|---|---|
| Akce | string |
✔️ | .addPříkaz , .dropnebo .set..add přidá zadané objekty zabezpečení, .drop odebere zadané objekty zabezpečení a .set přidá zadané objekty zabezpečení a odebere všechny předchozí objekty zabezpečení. |
| Název databáze | string |
✔️ | Název databáze, pro kterou chcete přidat objekty zabezpečení. |
| Role | string |
✔️ | Role, která se má přiřadit k objektu zabezpečení. U databází to může být admins, , usersviewers, unrestrictedviewers, , ingestorsnebo monitors. |
| Hlavní | string |
✔️ | Jeden nebo více objektů zabezpečení. Pokyny k určení těchto objektů zabezpečení najdete v tématu Odkazování na objekty zabezpečení a skupiny Microsoft Entra. |
skip-results |
string |
Pokud je k dispozici, příkaz nevrátí aktualizovaný seznam objektů zabezpečení databáze. | |
| Popis | string |
Text popisující změnu, která se zobrazí při použití .show příkazu |
Poznámka:
Příkaz .set místo none seznamu objektů zabezpečení odebere všechny objekty zabezpečení zadané role.
Příklady
V následujících příkladech se dozvíte, jak přidat role zabezpečení, odebrat role zabezpečení a přidat a odebrat role zabezpečení ve stejném příkazu.
Přidání rolí zabezpečení pomocí .add
Následující příklad přidá objekt zabezpečení do users role v Samples databázi.
.add database Samples users ('aaduser=imikeoein@fabrikam.com')
Následující příklad přidá aplikaci do viewers role v Samples databázi.
.add database Samples viewers ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com')
Odebrání rolí zabezpečení pomocí .drop
Následující příklad odebere všechny objekty zabezpečení ve skupině z admins role v Samples databázi.
.drop database Samples admins ('aadGroup=SomeGroupEmail@fabrikam.com')
Přidání nových rolí zabezpečení a odebrání starých rolí se sadou .set
Následující příklad odebere existující viewers objekty zabezpečení a přidá zadané objekty zabezpečení jako viewers do Samples databáze.
.set database Samples viewers ('aaduser=imikeoein@fabrikam.com', 'aaduser=abbiatkins@fabrikam.com')
Odebrání všech rolí zabezpečení pomocí sady .set
Následující příkaz odebere všechny existující viewers databáze Samples .
.set database Samples viewers none