Freigeben über


Referenz zu Azure Cosmos DB für NoSQL-Datenebenenaktionen

GILT FÜR: NoSQL

Diagramm des aktuellen Standorts ('Verweis') in der Sequenz des Bereitstellungshandbuchs.

Abbildung: Sequenz des Bereitstellungsleitfadens, einschließlich dieser Phasen (in ihrer Reihenfolge): Übersicht, Konzepte, Vorbereiten, Rollenbasierte Zugriffssteuerung, Netzwerk und Verweis. Der Speicherort "Verweis" ist zurzeit hervorgehoben.

Azure Cosmos DB für NoSQL macht einen eindeutigen Satz von Datenaktionen innerhalb der systemeigenen rollenbasierten Zugriffssteuerungsimplementierung verfügbar. Dieser Artikel enthält eine Liste dieser Aktionen und Beschreibungen zu den Berechtigungen, die für jede Aktion gewährt werden.

Warnung

Die native rollenbasierte Zugriffssteuerung von Azure Cosmos DB for NoSQL unterstützt die Eigenschaft notDataActions nicht. Jede Aktion, die nicht als zulässiges dataAction-Element angegeben ist, wird automatisch ausgeschlossen.

Datenaktionen

Hier ist eine Liste der Datenaktionen, die in einer Rollendefinition einzeln festgelegt werden können.

Beschreibung
Microsoft.DocumentDB/databaseAccounts/readMetadata Lesen der erforderlichen Metadaten aus Konto für Datenebenenvorgänge
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/create Erstellt neue Elemente
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read Liest bestimmte Elemente durch Ausführen eines Punktlesevorgangs mithilfe des Partitionsschlüssels und eindeutigen Bezeichners
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/replace Ersetzt vorhandene Elemente.
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/upsert Erstellt ein neues Element, wenn es nicht vorhanden ist oder ein vorhandenes Element ersetzt.
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/delete Löscht ein Element.
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery Führt eine NoSQL-Abfrage aus.
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed Liest aus dem Änderungsfeed des Containers
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeStoredProcedure Führt gespeicherte Prozeduren aus.
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/manageConflicts Verwalten von Konflikten für Konten mithilfe des Konfliktfeeds

Hinweis

Zum Ausführen von NoSQL-Abfragen mit den Software Development Kits (SDKs) müssen Sie über die Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery beiden Berechtigungen Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed verfügen.

Datenaktions-Wildcards

Wildcards werden auf Container- und Elementebenen unterstützt.

Beschreibung
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/* Ausführen aller containerspezifischen Vorgänge wie ausführen von Abfragen, Lesen des Änderungsfeeds, Verwalten von Konflikten und Ausführen von gespeicherten Prozeduren
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/* Ausführen aller elementspezifischen Vorgänge wie Erstellen, Lesen, Aktualisieren, Ersetzen und Löschen von Elementen

Erforderliche Metadaten

Die Azure Cosmos DB Software Development Kits (SDKs) stellen schreibgeschützte Metadatenanforderungen während der Initialisierung aus und stellen spezifische Datenanforderungen bereit. Diese Anforderungen rufen verschiedene Konfigurationsdetails ab. Dazu gehören beispielsweise:

  • Die globale Konfiguration Ihres Kontos, einschließlich der Azure-Regionen, in denen das Konto verfügbar ist
  • Der Partitionsschlüssel Ihrer Container oder deren Indizierungsrichtlinie
  • Die Liste der physischen Partitionen, die einen Container und deren Adressen bilden
  • Sie rufen keine der Daten ab, die in Ihrem Konto gespeichert sind.

Um die beste Transparenz unseres Berechtigungsmodells sicherzustellen, werden diese Metadatenanforderungen explizit von der Microsoft.DocumentDB/databaseAccounts/readMetadata Datenaktion abgedeckt. Diese Aktion muss in jeder Situation zulässig sein, in der Ihr Azure Cosmos DB-Konto über einen der Azure Cosmos DB-SDKs zugegriffen wird.

Die Aktion kann auf jeder Ebene in der Hierarchie eines Azure Cosmos DB-Kontos, einschließlich Konto, Datenbank oder Container, zugewiesen werden. Die zulässigen Metadatenanforderungen hängen vom Bereich ab:

  • Konto
    • Auflisten der Datenbanken unter dem Konto
    • Für jede Datenbank unter dem Konto die zulässigen Aktionen im Datenbankbereich
  • Datenbank
    • Lesen von Datenbankmetadaten
    • Auflisten der Container unter der Datenbank
    • Für jeden Container unter der Datenbank die zulässigen Aktionen im Containerbereich
  • Container
    • Lesen von Containermetadaten
    • Auflisten physischer Partitionen unter dem Container
    • Auflösen der Adresse jeder physischen Partition

Wichtig

Der Durchsatz mit der Microsoft.DocumentDB/databaseAccounts/readMetadata Datenaktion kann nicht verwaltet werden.