Freigeben über


Rollenbasierte Zugriffssteuerung

Gilt für: ✅Microsoft Fabric✅Azure Data Explorer

Azure Data Explorer verwendet ein rollenbasiertes Zugriffssteuerungsmodell (RBAC), in dem Prinzipale basierend auf ihren zugewiesenen Rollen Zugriff auf Ressourcen erhalten. Rollen werden für einen bestimmten Cluster, eine bestimmte Datenbank, eine Tabelle, eine externe Tabelle, eine materialisierte Sicht oder eine bestimmte Funktion definiert. Wenn sie für einen Cluster definiert ist, gilt die Rolle für alle Datenbanken im Cluster. Wenn sie für eine Datenbank definiert ist, gilt die Rolle für alle Entitäten in der Datenbank.

Azure Resource Manager (ARM)-Rollen, z. B. Abonnementbesitzer oder Clusterbesitzer, gewähren Zugriffsberechtigungen für die Ressourcenverwaltung. Für die Datenverwaltung benötigen Sie die in diesem Dokument beschriebenen Rollen.

Hinweis

Zum Löschen einer Datenbank benötigen Sie mindestens Arm-Berechtigungen für Mitwirkende für den Cluster. Informationen zum Zuweisen von ARM-Berechtigungen finden Sie unter Zuweisen von Azure-Rollen mithilfe des Azure-Portal.

Echtzeitintelligenz in Fabric verwendet ein hybrides rollenbasiertes Zugriffssteuerungsmodell (RBAC), bei dem Prinzipale basierend auf ihren zugewiesenen Rollen, die von einem oder beiden Quellen gewährt werden, Zugriff auf Ressourcen erhalten: Fabric- und Kusto-Verwaltungsbefehle. Der Benutzer verfügt über die Vereinigung der Rollen, die aus beiden Quellen gewährt werden.

Innerhalb von Fabric können Rollen zugewiesen oder geerbt werden, indem sie eine Rolle in einem Arbeitsbereich zuweisen oder ein bestimmtes Element basierend auf dem Elementberechtigungsmodell freigeben.

Fabric-Rollen

Role Berechtigungen, die für Elemente erteilt wurden
Arbeitsbereichsadministrator Administrator-RBAC-Rolle für alle Elemente im Arbeitsbereich.
Arbeitsbereichsmitglied Administrator-RBAC-Rolle für alle Elemente im Arbeitsbereich.
Arbeitsbereichsmitwirkender Administrator-RBAC-Rolle für alle Elemente im Arbeitsbereich.
Arbeitsbereichsanzeige Viewer-RBAC-Rolle für alle Elemente im Arbeitsbereich.
Element-Editor Administrator-RBAC-Rolle für das Element.
Elementanzeige RBAC-Rolle des Viewers für das Element.

Rollen können auf der Datenebene für eine bestimmte Datenbank, Tabelle, externe Tabelle, materialisierte Ansicht oder Funktion mithilfe von Verwaltungsbefehlen weiter definiert werden. In beiden Fällen werden Rollen, die auf einer höheren Ebene (Arbeitsbereich, Eventhouse) angewendet werden, von niedrigeren Ebenen geerbt (Datenbank, Tabelle).

Rollen und Berechtigungen

In der folgenden Tabelle sind die Rollen und Berechtigungen aufgeführt, die in jedem Bereich verfügbar sind.

In der Spalte "Berechtigungen" wird der Zugriff angezeigt, der jeder Rolle gewährt wird.

In der Spalte "Abhängigkeiten" sind die Mindestrollen aufgeführt, die zum Abrufen der Rolle in dieser Zeile erforderlich sind. Um z. B. ein Tabellenadministrator zu werden, müssen Sie zuerst über eine Rolle wie Datenbankbenutzer oder eine Rolle verfügen, die die Berechtigungen des Datenbankbenutzers enthält, z. B. "Datenbankadministrator" oder "AllDatabasesAdmin". Wenn mehrere Rollen in der Spalte "Abhängigkeiten" aufgeführt sind, ist nur eine davon erforderlich, um die Rolle zu erhalten.

Die Spalte "Wie die Rolle abgerufen wird" bietet Möglichkeiten, wie die Rolle gewährt oder geerbt werden kann.

Die Spalte "Verwalten" bietet Möglichkeiten zum Hinzufügen oder Entfernen von Rollenprinzipalen.

`Scope` Rolle Berechtigungen Abhängigkeiten Verwalten
Cluster AllDatabasesAdmin Vollständige Berechtigung für alle Datenbanken im Cluster. Kann bestimmte Richtlinien auf Clusterebene anzeigen und ändern. Enthält alle Berechtigungen. Azure portal
Cluster AllDatabasesViewer Alle Daten und Metadaten einer beliebigen Datenbank im Cluster lesen. Azure portal
Cluster AllDatabasesMonitor Führen Sie .show Befehle im Kontext einer beliebigen Datenbank im Cluster aus. Azure portal
Datenbank Administrator Vollständige Berechtigung im Bereich einer bestimmten Datenbank. Enthält alle Berechtigungen auf niedrigerer Ebene. Azure-Portal- oder Verwaltungsbefehle
Datenbank Benutzer Alle Daten und Metadaten der Datenbank lesen. Erstellen Sie Tabellen und Funktionen, und werden Sie der Administrator für diese Tabellen und Funktionen. Azure-Portal- oder Verwaltungsbefehle
Datenbank Zuschauer Alle Daten und Metadaten lesen, mit Ausnahme von Tabellen mit aktivierter RestrictedViewAccess-Richtlinie . Azure-Portal- oder Verwaltungsbefehle
Datenbank Unrestrictedviewer Alle Daten und Metadaten lesen, einschließlich in Tabellen mit aktivierter RestrictedViewAccess-Richtlinie . Datenbankbenutzer oder Datenbankanzeige Azure-Portal- oder Verwaltungsbefehle
Datenbank Ingestor Daten in alle Tabellen in der Datenbank aufnehmen, ohne zugriff auf die Daten abzufragen. Azure-Portal- oder Verwaltungsbefehle
Datenbank Monitor Führen Sie .show Befehle im Kontext der Datenbank und ihrer untergeordneten Entitäten aus. Azure-Portal- oder Verwaltungsbefehle
Tabelle Administrator Vollständige Berechtigung im Bereich einer bestimmten Tabelle. Datenbankbenutzer Verwaltungsbefehle
Tabelle Ingestor Nehmen Sie Daten ohne Zugriff auf die Daten in die Tabelle ein. Datenbankbenutzer oder Datenbankingestor Verwaltungsbefehle
Externe Tabelle Administrator Vollständige Berechtigung im Bereich einer bestimmten externen Tabelle. Datenbankbenutzer oder Datenbankanzeige Verwaltungsbefehle
Materialisierte Sicht Administrator Vollständige Berechtigung zum Ändern der Ansicht, Löschen der Ansicht und Erteilen von Administratorberechtigungen für einen anderen Prinzipal. Datenbankbenutzer oder Tabellenadministrator Verwaltungsbefehle
Funktion Administrator Vollständige Berechtigung zum Ändern der Funktion, Löschen der Funktion und Erteilen von Administratorberechtigungen für einen anderen Prinzipal. Datenbankbenutzer oder Tabellenadministrator Verwaltungsbefehle
`Scope` Rolle Berechtigungen Wie die Rolle abgerufen wird
Eventhouse AllDatabasesAdmin Vollständige Berechtigung für alle Datenbanken im Eventhouse. Kann bestimmte Richtlinien auf Eventhouse-Ebene anzeigen und ändern. Enthält alle Berechtigungen. – Geerbt als Arbeitsbereichsadministrator, Arbeitsbereichsmitglied oder Arbeitsbereichsmitwirkender.

Kann nicht mit Verwaltungsbefehlen zugewiesen werden.
Datenbank Administrator Vollständige Berechtigung im Bereich einer bestimmten Datenbank. Enthält alle Berechtigungen auf niedrigerer Ebene. – Geerbt als Arbeitsbereichsadministrator, Arbeitsbereichsmitglied oder Arbeitsbereichsmitwirkender
- Element, das mit Bearbeitungsberechtigungen geteilt wurde .
– Zugewiesen mit Verwaltungsbefehlen
Datenbank Benutzer Alle Daten und Metadaten der Datenbank lesen. Erstellen Sie Tabellen und Funktionen, und werden Sie der Administrator für diese Tabellen und Funktionen. – Zugewiesen mit Verwaltungsbefehlen
Datenbank Zuschauer Alle Daten und Metadaten lesen, mit Ausnahme von Tabellen mit aktivierter RestrictedViewAccess-Richtlinie . - Element, das mit Anzeigeberechtigungen geteilt wurde .
– Zugewiesen mit Verwaltungsbefehlen
Datenbank Unrestrictedviewer Alle Daten und Metadaten lesen, einschließlich in Tabellen mit aktivierter RestrictedViewAccess-Richtlinie . – Zugewiesen mit Verwaltungsbefehlen. Abhängig davon, dass Datenbankbenutzer oder Datenbank-Viewer vorhanden ist.
Datenbank Ingestor Daten in alle Tabellen in der Datenbank aufnehmen, ohne zugriff auf die Daten abzufragen. – Zugewiesen mit Verwaltungsbefehlen
Datenbank Monitor Führen Sie .show Befehle im Kontext der Datenbank und ihrer untergeordneten Entitäten aus. – Zugewiesen mit Verwaltungsbefehlen
Tabelle Administrator Vollständige Berechtigung im Bereich einer bestimmten Tabelle. – Geerbt als Arbeitsbereichsadministrator, Arbeitsbereichsmitglied oder Arbeitsbereichsmitwirkender
– Übergeordnetes Element (KQL-Datenbank), das mit Bearbeitungsberechtigungen geteilt wurde .
– Zugewiesen mit Verwaltungsbefehlen. Abhängig davon, dass der Datenbankbenutzer in der übergeordneten Datenbank vorhanden ist.
Tabelle Ingestor Nehmen Sie Daten ohne Zugriff auf die Daten in die Tabelle ein. – Zugewiesen mit Verwaltungsbefehlen. Abhängig davon, dass Datenbankbenutzer oder Datenbankingestor in der übergeordneten Datenbank vorhanden ist.
Externe Tabelle Administrator Vollständige Berechtigung im Bereich einer bestimmten externen Tabelle. – Zugewiesen mit Verwaltungsbefehlen. Abhängig davon, dass Datenbankbenutzer oder Datenbank-Viewer in der übergeordneten Datenbank vorhanden ist.
Materialisierte Sicht Administrator Vollständige Berechtigung zum Ändern der Ansicht, Löschen der Ansicht und Erteilen von Administratorberechtigungen für einen anderen Prinzipal. – Geerbt als Arbeitsbereichsadministrator, Arbeitsbereichsmitglied oder Arbeitsbereichsmitwirkender
– Übergeordnetes Element (KQL-Datenbank), das mit Bearbeitungsberechtigungen geteilt wurde .
– Zugewiesen mit Verwaltungsbefehlen. Abhängig davon, dass Datenbankbenutzer oder Tabellenadministrator für die übergeordneten Elemente verwendet werden.
Funktion Administrator Vollständige Berechtigung zum Ändern der Funktion, Löschen der Funktion und Erteilen von Administratorberechtigungen für einen anderen Prinzipal. – Geerbt als Arbeitsbereichsadministrator, Arbeitsbereichsmitglied oder Arbeitsbereichsmitwirkender
– Übergeordnetes Element (KQL-Datenbank), das mit Bearbeitungsberechtigungen geteilt wurde .
– Zugewiesen mit Verwaltungsbefehlen. Abhängig davon, dass Datenbankbenutzer oder Tabellenadministrator für die übergeordneten Elemente verwendet werden.