Gérer les rôles de sécurité de base de données
S’applique à : ✅Microsoft Fabric✅Azure Data Explorer
Les principaux sont autorisés à accéder aux ressources via un modèle de contrôle d’accès en fonction du rôle, où leurs rôles de sécurité attribués déterminent leur accès aux ressources.
Dans cet article, vous allez apprendre à utiliser des commandes de gestion pour afficher les rôles de sécurité existants et ajouter et supprimer une association de principal aux rôles de sécurité au niveau de la base de données.
autorisations
Vous devez disposer au moins des autorisations d’administrateur de base de données pour exécuter ces commandes.
Remarque
Pour supprimer une base de données, vous avez besoin d’au moins des autorisations Contributeur Azure Resource Manager (ARM). Pour attribuer des autorisations ARM, consultez Affecter des rôles Azure à l’aide de la Portail Azure.
Rôles de sécurité au niveau de la base de données
Le tableau suivant présente les rôles de sécurité possibles au niveau de la base de données et décrit les autorisations accordées pour chaque rôle.
| Rôle | autorisations |
|---|---|
admins |
Affichez et modifiez les entités de base de données et de base de données. |
users |
Affichez la base de données et créez des entités de base de données. |
viewers |
Affichez les tables dans la base de données où RestrictedViewAccess n’est pas activé. |
unrestrictedviewers |
Affichez les tables de la base de données même lorsque RestrictedViewAccess est activé. Le principal doit également disposer adminsd’autorisations, viewersou users d’autorisations. |
ingestors |
Ingérer des données dans la base de données sans accéder à la requête. |
monitors |
Affichez les métadonnées de base de données telles que les schémas, les opérations et les autorisations. |
Remarque
Il n’est pas possible d’attribuer le viewer rôle pour certaines tables de la base de données. Pour connaître différentes approches sur la façon d’accorder un accès d’affichage principal à un sous-ensemble de tables, consultez gérer l’accès en mode Table.
Afficher les rôles de sécurité existants
Avant d’ajouter ou de supprimer des principaux, vous pouvez utiliser la .show commande pour afficher une table avec tous les principaux et rôles déjà définis sur la base de données.
Syntaxe
Pour afficher tous les rôles :
.showdatabase DatabaseName principals
Pour afficher vos rôles :
.showdatabase DatabaseName principal roles
En savoir plus sur les conventions de syntaxe.
Paramètres
| Nom | Type | Requise | Description |
|---|---|---|---|
| DatabaseName | string |
✔️ | Nom de la base de données pour laquelle répertorier les principaux. |
Exemple
La commande suivante répertorie tous les principaux de sécurité qui ont accès à la Samples base de données.
.show database Samples principals
Exemple de sortie
| Rôle | PrincipalType | PrincipalDisplayName | PrincipalObjectId | PrincipalFQN |
|---|---|---|---|---|
| Administrateur d’exemples de base de données | Utilisateur Microsoft Entra | Abbi Atkins | cd709aed-a26c-e3953dec735e | aaduser=abbiatkins@fabrikam.com |
Ajouter et supprimer une association de principal aux rôles de sécurité
Cette section fournit une syntaxe, des paramètres et des exemples pour l’ajout et la suppression de principaux à et à partir de rôles de sécurité.
Syntaxe
Principal du rôle ( Action database DatabaseName [, Principal...] ) [skip-results] [ Description ]
En savoir plus sur les conventions de syntaxe.
Paramètres
| Nom | Type | Requise | Description |
|---|---|---|---|
| Action | string |
✔️ | .addCommande , .dropou .set..add ajoute les principaux spécifiés, .drop supprime les principaux spécifiés et .set ajoute les principaux spécifiés et supprime tous les principaux précédents. |
| DatabaseName | string |
✔️ | Nom de la base de données pour laquelle ajouter des principaux. |
| Rôle | string |
✔️ | Rôle à attribuer au principal. Pour les bases de données, les rôles peuvent être admins, users, viewers, unrestrictedviewers, ingestorsou monitors. |
| Principal | string |
✔️ | Un ou plusieurs principaux ou identités managées. Pour référencer des identités managées, utilisez le format « Application » à l’aide de l’ID d’objet d’identité managée ou de l’ID de client d’identité managée (application). Pour obtenir des conseils sur la façon de spécifier ces principaux, consultez Référencer les principaux et groupes Microsoft Entra. |
skip-results |
string |
Si elle est fournie, la commande ne retourne pas la liste mise à jour des principaux de base de données. | |
| Description | string |
Texte décrivant la modification qui s’affiche lors de l’utilisation de la .show commande. |
| Nom | Type | Requise | Description |
|---|---|---|---|
| Action | string |
✔️ | .addCommande , .dropou .set..add ajoute les principaux spécifiés, .drop supprime les principaux spécifiés et .set ajoute les principaux spécifiés et supprime tous les principaux précédents. |
| DatabaseName | string |
✔️ | Nom de la base de données pour laquelle ajouter des principaux. |
| Rôle | string |
✔️ | Rôle à attribuer au principal. Pour les bases de données, cela peut être admins, , usersviewers, unrestrictedviewers, ingestorsou monitors. |
| Principal | string |
✔️ | Un ou plusieurs principaux. Pour obtenir des conseils sur la façon de spécifier ces principaux, consultez Référencer les principaux et groupes Microsoft Entra. |
skip-results |
string |
Si elle est fournie, la commande ne retourne pas la liste mise à jour des principaux de base de données. | |
| Description | string |
Texte décrivant la modification qui s’affiche lors de l’utilisation de la .show commande. |
Remarque
La .set commande avec none au lieu d’une liste de principaux supprime tous les principaux du rôle spécifié.
Exemples
Dans les exemples suivants, vous allez voir comment ajouter des rôles de sécurité, supprimer des rôles de sécurité et ajouter et supprimer des rôles de sécurité dans la même commande.
Ajouter des rôles de sécurité avec .add
L’exemple suivant ajoute un principal au users rôle sur la Samples base de données.
.add database Samples users ('aaduser=imikeoein@fabrikam.com')
L’exemple suivant ajoute une application au viewers rôle sur la Samples base de données.
.add database Samples viewers ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com')
Supprimer des rôles de sécurité avec .drop
L’exemple suivant supprime tous les principaux du groupe du admins rôle sur la Samples base de données.
.drop database Samples admins ('aadGroup=SomeGroupEmail@fabrikam.com')
Ajouter de nouveaux rôles de sécurité et supprimer l’ancien avec .set
L’exemple suivant supprime l’existant viewers et ajoute les principaux fournis comme viewers sur la Samples base de données.
.set database Samples viewers ('aaduser=imikeoein@fabrikam.com', 'aaduser=abbiatkins@fabrikam.com')
Supprimer tous les rôles de sécurité avec .set
La commande suivante supprime toutes les données existantes viewers sur la Samples base de données.
.set database Samples viewers none