Verwalten von Datenbanksicherheitsrollen
Gilt für: ✅Microsoft Fabric✅Azure Data Explorer
Prinzipale erhalten Zugriff auf Ressourcen über ein rollenbasiertes Zugriffssteuerungsmodell, bei dem ihre zugewiesenen Sicherheitsrollen den Ressourcenzugriff bestimmen.
In diesem Artikel erfahren Sie, wie Sie Mithilfe von Verwaltungsbefehlen vorhandene Sicherheitsrollen anzeigen und eine Prinzipalzuordnung zu Sicherheitsrollen auf Datenbankebene hinzufügen und ablegen.
Berechtigungen
Sie müssen mindestens über Datenbankadministratorberechtigungen verfügen, um diese Befehle auszuführen.
Hinweis
Um eine Datenbank zu löschen, benötigen Sie mindestens Arm-Berechtigungen (Contributor Azure Resource Manager). Informationen zum Zuweisen von ARM-Berechtigungen finden Sie unter Zuweisen von Azure-Rollen mithilfe des Azure-Portal.
Sicherheitsrollen auf Datenbankebene
Die folgende Tabelle zeigt die möglichen Sicherheitsrollen auf Datenbankebene und beschreibt die berechtigungen, die für jede Rolle gewährt werden.
| Rolle | Berechtigungen |
|---|---|
admins |
Anzeigen und Ändern der Datenbank- und Datenbankentitäten. |
users |
Zeigen Sie die Datenbank an, und erstellen Sie neue Datenbankentitäten. |
viewers |
Zeigen Sie Tabellen in der Datenbank an, in denen RestrictedViewAccess nicht aktiviert ist. |
unrestrictedviewers |
Zeigen Sie die Tabellen in der Datenbank an, auch wenn RestrictedViewAccess aktiviert ist. Der Prinzipal muss auch über Berechtigungen viewersoder users Berechtigungen verfügenadmins. |
ingestors |
Nehmen Sie Daten ohne Zugriff auf Abfrage in die Datenbank ein. |
monitors |
Zeigen Sie Datenbankmetadaten wie Schemas, Vorgänge und Berechtigungen an. |
Hinweis
Es ist nicht möglich, die viewer Rolle nur für einige Tabellen in der Datenbank zuzuweisen. Unterschiedliche Ansätze zum Gewähren eines Prinzipalansichtszugriffs auf eine Teilmenge von Tabellen finden Sie unter Verwalten des Tabellenansichtszugriffs.
Vorhandene Sicherheitsrollen anzeigen
Bevor Sie Prinzipale hinzufügen oder entfernen, können Sie den .show Befehl verwenden, um eine Tabelle mit allen Prinzipale und Rollen anzuzeigen, die bereits in der Datenbank festgelegt sind.
Syntax
So zeigen Sie alle Rollen an:
.showdatabase DatabaseName principals
So zeigen Sie Ihre Rollen an:
.showdatabase DatabaseName principal roles
Erfahren Sie mehr über Syntaxkonventionen.
Parameter
| Name | Type | Erforderlich | Beschreibung |
|---|---|---|---|
| DatabaseName | string |
✔️ | Der Name der Datenbank, für die Prinzipale aufgeführt werden sollen. |
Beispiel
Der folgende Befehl listet alle Sicherheitsprinzipale auf, die Zugriff auf die Samples Datenbank haben.
.show database Samples principals
Beispielausgabe
| Role | PrincipalType | PrincipalDisplayName | PrincipalObjectId | PrincipalFQN |
|---|---|---|---|---|
| Datenbankbeispieladministrator | Microsoft Entra-Benutzer*in | Abbi Atkins | cd709aed-a26c-e3953dec735e | aaduser=abbiatkins@fabrikam.com |
Hinzufügen und Ablegen der Prinzipalzuordnung zu Sicherheitsrollen
Dieser Abschnitt enthält Syntax, Parameter und Beispiele zum Hinzufügen und Entfernen von Prinzipale zu und aus Sicherheitsrollen.
Syntax
Action DatabaseName-Rollenprinzipal ( [, Prinzipal...] ) [skip-results] [ Beschreibung ] database
Erfahren Sie mehr über Syntaxkonventionen.
Parameter
| Name | Type | Erforderlich | BESCHREIBUNG |
|---|---|---|---|
| Aktion | string |
✔️ | Der Befehl .add, .drop, oder .set..add fügt die angegebenen Prinzipale hinzu, .drop entfernt die angegebenen Prinzipale und fügt die angegebenen Prinzipale hinzu und .set entfernt alle vorherigen. |
| DatabaseName | string |
✔️ | Der Name der Datenbank, für die Prinzipale hinzugefügt werden sollen. |
| Rolle | string |
✔️ | Die Rolle, die dem Prinzipal zugewiesen werden soll. Bei Datenbanken können Rollen , admins, users, viewers, unrestrictedviewers, , ingestorsoder monitors. |
| Prinzipal | string |
✔️ | Eine oder mehrere Prinzipale oder verwaltete Identitäten. Um auf verwaltete Identitäten zu verweisen, verwenden Sie das Format "App" mithilfe der ID des verwalteten Identitätsobjekts oder des Verwalteten Identitätsclients (Anwendungs-ID). Anleitungen zum Angeben dieser Prinzipale finden Sie unter Verweisen auf Microsoft Entra-Prinzipale und -Gruppen. |
skip-results |
string |
Wenn angegeben, gibt der Befehl die aktualisierte Liste der Datenbankprinzipale nicht zurück. | |
| Beschreibung | string |
Text zur Beschreibung der Änderung, die bei Verwendung des .show Befehls angezeigt wird. |
| Name | Type | Erforderlich | BESCHREIBUNG |
|---|---|---|---|
| Aktion | string |
✔️ | Der Befehl .add, .drop, oder .set..add fügt die angegebenen Prinzipale hinzu, .drop entfernt die angegebenen Prinzipale und fügt die angegebenen Prinzipale hinzu und .set entfernt alle vorherigen. |
| DatabaseName | string |
✔️ | Der Name der Datenbank, für die Prinzipale hinzugefügt werden sollen. |
| Rolle | string |
✔️ | Die Rolle, die dem Prinzipal zugewiesen werden soll. Bei Datenbanken kann dies wie folgt seinadmins: , users, , viewers, unrestrictedviewers, , oder ingestorsmonitors. |
| Prinzipal | string |
✔️ | Mindestens ein Prinzipal. Anleitungen zum Angeben dieser Prinzipale finden Sie unter Verweisen auf Microsoft Entra-Prinzipale und -Gruppen. |
skip-results |
string |
Wenn angegeben, gibt der Befehl die aktualisierte Liste der Datenbankprinzipale nicht zurück. | |
| Beschreibung | string |
Text zur Beschreibung der Änderung, die bei Verwendung des .show Befehls angezeigt wird. |
Hinweis
Der .set Befehl anstelle none einer Liste von Prinzipalen entfernt alle Prinzipale der angegebenen Rolle.
Beispiele
In den folgenden Beispielen erfahren Sie, wie Sie Sicherheitsrollen hinzufügen, Sicherheitsrollen entfernen und Sicherheitsrollen im selben Befehl hinzufügen und entfernen.
Hinzufügen von Sicherheitsrollen mit ".add"
Im folgenden Beispiel wird der Rolle in der users Samples Datenbank ein Prinzipal hinzugefügt.
.add database Samples users ('aaduser=imikeoein@fabrikam.com')
Im folgenden Beispiel wird der Rolle in der viewers Samples Datenbank eine Anwendung hinzugefügt.
.add database Samples viewers ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com')
Entfernen von Sicherheitsrollen mit DROP
Im folgenden Beispiel werden alle Prinzipale in der Gruppe aus der Rolle in der admins Samples Datenbank entfernt.
.drop database Samples admins ('aadGroup=SomeGroupEmail@fabrikam.com')
Hinzufügen neuer Sicherheitsrollen und Entfernen der alten mit ".set"
Im folgenden Beispiel werden vorhandene viewers Und die bereitgestellten Prinzipale wie viewers in der Samples Datenbank hinzugefügt.
.set database Samples viewers ('aaduser=imikeoein@fabrikam.com', 'aaduser=abbiatkins@fabrikam.com')
Entfernen aller Sicherheitsrollen mit ".set"
Mit dem folgenden Befehl werden alle in der Samples Datenbank vorhandenen Elemente viewers entfernt.
.set database Samples viewers none