Istruzione restrict

L'istruzione restrict limita il set di entità di tabella/vista visibili alle istruzioni di query che lo seguono. Ad esempio, in un database che include due tabelle (A, B), l'applicazione può impedire al resto della query di accedere B e solo "vedere" una forma limitata di tabella A usando una vista.

Lo scenario principale dell'istruzione restrict è per le applicazioni di livello intermedio che accettano query dagli utenti e vogliono applicare un meccanismo di sicurezza a livello di riga su tali query. L'applicazione di livello intermedio può anteporre alla query dell'utente un modello logico , un set di istruzioni let per definire visualizzazioni che limitano l'accesso dell'utente ai dati, ad esempio ( T | where UserId == "..."). Quando viene aggiunta l'ultima istruzione, limita l'accesso dell'utente solo al modello logico.


L'istruzione restrict può essere usata per limitare l'accesso alle entità in un altro database o cluster (i caratteri jolly non sono supportati nei nomi del cluster).


restrict access to ( EntitySpecifiers)

  • Tutte le tabelle, le viste tabulari o i modelli non specificati dall'istruzione restrict diventano "invisibili" al resto della query.
  • Le istruzioni let, set e tabulari vengono unite/separate da un punto e virgola, altrimenti non vengono considerate parte della stessa query.


Negli esempi di questa sezione viene illustrato come usare la sintassi per iniziare.

Gli esempi in questo articolo usano tabelle disponibili pubblicamente nel cluster della Guida , ad esempio la tabella StormEvents nel database degli esempi.

Istruzione let

Nell'esempio viene usata un'istruzione let visualizzata prima dell'istruzione restrict.

// Limit access to 'Test' let statement only
let Test = () { print x=1 };
restrict access to (Test);

Tabelle o funzioni

Nell'esempio vengono utilizzati riferimenti per tabelle o funzioni definite nei metadati del database.

// Assuming the database that the query uses has table Table1 and Func1 defined in the metadata, 
// and other database 'DB2' has Table2 defined in the metadata

restrict access to (database().Table1, database().Func1, database('DB2').Table2);


Nell'esempio vengono usati modelli con caratteri jolly che possono corrispondere a più istruzioni let o tabelle/funzioni.

let Test1 = () { print x=1 };
let Test2 = () { print y=1 };
restrict access to (*);
// Now access is restricted to Test1, Test2 and no tables/functions are accessible.

// Assuming the database that the query uses has table Table1 and Func1 defined in the metadata.
// Assuming that database 'DB2' has table Table2 and Func2 defined in the metadata
restrict access to (database().*);
// Now access is restricted to all tables/functions of the current database ('DB2' is not accessible).

// Assuming the database that the query uses has table Table1 and Func1 defined in the metadata.
// Assuming that database 'DB2' has table Table2 and Func2 defined in the metadata
restrict access to (database('DB2').*);
// Now access is restricted to all tables/functions of the database 'DB2'

Impedire all'utente di eseguire query su altri dati utente

L'esempio mostra come un'applicazione di livello intermedio possa anteporre una query di un utente con un modello logico che impedisce all'utente di eseguire query sui dati di qualsiasi altro utente.

// Assume the database has a single table, UserData,
// with a column called UserID and other columns that hold
// per-user private information.
// The middle-tier application generates the following statements.
// Note that "" is something the middle-tier application
// derives per-user as it authenticates the user.
let RestrictedData = view () { Data | where UserID == "" };
restrict access to (RestrictedData);
// The rest of the query is something that the user types.
// This part can only reference RestrictedData; attempting to reference Data
// will fail.
RestrictedData | summarize MonthlySalary=sum(Salary) by Year, Month
// Restricting access to Table1 in the current database (database() called without parameters)
restrict access to (database().Table1);
Table1 | count

// Restricting access to Table1 in the current database and Table2 in database 'DB2'
restrict access to (database().Table1, database('DB2').Table2);
| count

// Restricting access to Test statement only
let Test = () { range x from 1 to 10 step 1 };
restrict access to (Test);
// Assume that there is a table called Table1, Table2 in the database
let View1 = view () { Table1 | project Column1 };
let View2 = view () { Table2 | project Column1, Column2 };
restrict access to (View1, View2);
// When those statements appear before the command - the next works
let View1 = view () { Table1 | project Column1 };
let View2 = view () { Table2 | project Column1, Column2 };
restrict access to (View1, View2);
View1 |  count
// When those statements appear before the command - the next access is not allowed
let View1 = view () { Table1 | project Column1 };
let View2 = view () { Table2 | project Column1, Column2 };
restrict access to (View1, View2);
Table1 |  count