역할 기반 액세스 제어
적용 대상: ✅Microsoft Fabric✅Azure Data Explorer
Azure Data Explorer는 주체가 할당된 역할에 따라 리소스에 액세스하는 RBAC(역할 기반 액세스 제어) 모델을 사용합니다. 역할은 특정 클러스터, 데이터베이스, 테이블, 외부 테이블, 구체화된 뷰 또는 함수에 대해 정의됩니다. 클러스터에 대해 정의된 경우 역할은 클러스터의 모든 데이터베이스에 적용됩니다. 데이터베이스에 대해 정의된 경우 역할은 데이터베이스의 모든 엔터티에 적용됩니다.
구독 소유자 또는 클러스터 소유자와 같은 ARM(Azure Resource Manager) 역할은 리소스 관리에 대한 액세스 권한을 부여합니다. 데이터 관리의 경우 이 문서에 설명된 역할이 필요합니다.
참고 항목
데이터베이스를 삭제하려면 클러스터에 대한 기여자 ARM 이상의 권한이 필요합니다. ARM 권한을 할당하려면 Azure Portal을 사용하여 Azure 역할 할당을 참조하세요.
패브릭의 실시간 인텔리전스는 보안 주체가 패브릭 및 Kusto 관리 명령의 하나 또는 둘 다에서 부여된 할당된 역할에 따라 리소스에 액세스하는 하이브리드 RBAC(역할 기반 액세스 제어) 모델을 사용합니다. 사용자는 두 소스에서 부여된 역할의 합합을 갖게 됩니다.
패브릭 내에서는 작업 영역에서 역할을 할당하거나 항목 사용 권한 모델을 기반으로 특정 항목을 공유하여 역할을 할당하거나 상속할 수 있습니다.
패브릭 역할
역할 | 항목에 부여된 권한 |
---|---|
작업 영역 관리자 | 작업 영역의 모든 항목에 대한 관리 RBAC 역할입니다. |
작업 영역 멤버 | 작업 영역의 모든 항목에 대한 관리 RBAC 역할입니다. |
작업 영역 기여자 | 작업 영역의 모든 항목에 대한 관리 RBAC 역할입니다. |
작업 영역 뷰어 | 작업 영역의 모든 항목에 대한 뷰어 RBAC 역할입니다. |
항목 편집기 | 항목에 대한 관리자 RBAC 역할입니다. |
항목 뷰어 | 항목에 대한 뷰어 RBAC 역할입니다. |
관리 명령을 사용하여 특정 데이터베이스, 테이블, 외부 테이블, 구체화된 뷰 또는 함수에 대한 데이터 평면에서 역할을 추가로 정의할 수 있습니다. 두 경우 모두 상위 수준(작업 영역, Eventhouse)에 적용된 역할은 하위 수준(데이터베이스, 테이블)에 상속됩니다.
역할 및 권한
다음 표에서는 각 범위에서 사용할 수 있는 역할 및 사용 권한을 간략하게 설명합니다.
권한 열에는 각 역할에 부여된 액세스 권한이 표시됩니다.
종속성 열에는 해당 행에서 역할을 가져오는 데 필요한 최소 역할이 나열됩니다. 예를 들어 테이블 관리자가 되려면 먼저 데이터베이스 사용자와 같은 역할 또는 데이터베이스 관리자 또는 AllDatabasesAdmin과 같은 데이터베이스 사용자의 권한을 포함하는 역할이 있어야 합니다. 여러 역할이 종속성 열에 나열되면 역할을 얻기 위해 해당 역할 중 하나만 필요합니다.
역할을 가져오는 방법 열은 역할을 부여하거나 상속할 수 있는 방법을 제공합니다.
관리 열은 역할 주체를 추가하거나 제거하는 방법을 제공합니다.
범위 | 역할 | 사용 권한 | 종속성 | 관리 |
---|---|---|---|---|
클러스터 | AllDatabasesAdmin | 클러스터의 모든 데이터베이스에 대한 전체 권한입니다. 특정 클러스터 수준 정책을 표시하고 변경할 수 있습니다. 모든 사용 권한을 포함합니다. | Azure Portal | |
클러스터 | AllDatabasesViewer | 클러스터에 있는 모든 데이터베이스의 모든 데이터와 메타데이터를 읽습니다. | Azure Portal | |
클러스터 | AllDatabasesMonitor | 클러스터에 있는 모든 데이터베이스의 컨텍스트에서 명령을 실행 .show 합니다. |
Azure Portal | |
데이터베이스 | 관리자 | 특정 데이터베이스의 범위에 대한 전체 권한입니다. 모든 하위 수준 권한을 포함합니다. | Azure Portal 또는 관리 명령 | |
데이터베이스 | 사용자 | 데이터베이스의 모든 데이터와 메타데이터를 읽습니다. 테이블 및 함수를 만들고 해당 테이블 및 함수의 관리자가 됩니다. | Azure Portal 또는 관리 명령 | |
데이터베이스 | 시청자 | RestrictedViewAccess 정책이 켜져 있는 테이블을 제외한 모든 데이터 및 메타데이터를 읽습니다. | Azure Portal 또는 관리 명령 | |
데이터베이스 | Unrestrictedviewer | RestrictedViewAccess 정책이 켜져 있는 테이블을 포함하여 모든 데이터 및 메타데이터를 읽습니다. | 데이터베이스 사용자 또는 데이터베이스 뷰어 | Azure Portal 또는 관리 명령 |
데이터베이스 | 수집자 | 데이터를 쿼리할 수 없는 데이터베이스의 모든 테이블에 데이터를 수집합니다. | Azure Portal 또는 관리 명령 | |
데이터베이스 | Monitor | 데이터베이스 및 해당 자식 엔터티의 컨텍스트에서 명령을 실행 .show 합니다. |
Azure Portal 또는 관리 명령 | |
테이블 | 관리자 | 특정 테이블의 범위에 대한 전체 권한입니다. | 데이터베이스 사용자 | 관리 명령 |
테이블 | 수집자 | 데이터를 쿼리할 수 있는 액세스 권한 없이 테이블에 데이터를 수집합니다. | 데이터베이스 사용자 또는 데이터베이스 수집기 | 관리 명령 |
외부 테이블 | 관리자 | 특정 외부 테이블의 범위에 대한 전체 권한입니다. | 데이터베이스 사용자 또는 데이터베이스 뷰어 | 관리 명령 |
구체화된 뷰 | 관리자 | 보기를 변경하고, 보기를 삭제하고, 다른 보안 주체에게 관리자 권한을 부여할 수 있는 모든 권한입니다. | 데이터베이스 사용자 또는 테이블 관리자 | 관리 명령 |
함수 | 관리자 | 함수를 변경하고, 함수를 삭제하고, 다른 보안 주체에게 관리자 권한을 부여할 수 있는 모든 권한입니다. | 데이터베이스 사용자 또는 테이블 관리자 | 관리 명령 |
범위 | 역할 | 사용 권한 | 역할을 얻는 방법 |
---|---|---|---|
Eventhouse | AllDatabasesAdmin | Eventhouse의 모든 데이터베이스에 대한 전체 권한입니다. 특정 Eventhouse 수준 정책을 표시하고 변경할 수 있습니다. 모든 사용 권한을 포함합니다. | - 작업 영역 관리자, 작업 영역 구성원 또는 작업 영역 기여자로 상속됩니다. 관리 명령을 사용하여 할당할 수 없습니다. |
데이터베이스 | 관리자 | 특정 데이터베이스의 범위에 대한 전체 권한입니다. 모든 하위 수준 권한을 포함합니다. | - 작업 영역 관리자, 작업 영역 구성원 또는 작업 영역 기여자로 상속됨 - 편집 권한과 공유 되는 항목입니다. - 관리 명령을 사용하여 할당됨 |
데이터베이스 | 사용자 | 데이터베이스의 모든 데이터와 메타데이터를 읽습니다. 테이블 및 함수를 만들고 해당 테이블 및 함수의 관리자가 됩니다. | - 관리 명령을 사용하여 할당됨 |
데이터베이스 | 시청자 | RestrictedViewAccess 정책이 켜져 있는 테이블을 제외한 모든 데이터 및 메타데이터를 읽습니다. | - 보기 권한과 공유 되는 항목입니다. - 관리 명령을 사용하여 할당됨 |
데이터베이스 | Unrestrictedviewer | RestrictedViewAccess 정책이 켜져 있는 테이블을 포함하여 모든 데이터 및 메타데이터를 읽습니다. | - 관리 명령을 사용하여 할당됩니다. 데이터베이스 사용자 또는 데이터베이스 뷰어에 종속됩니다. |
데이터베이스 | 수집자 | 데이터를 쿼리할 수 없는 데이터베이스의 모든 테이블에 데이터를 수집합니다. | - 관리 명령을 사용하여 할당됨 |
데이터베이스 | Monitor | 데이터베이스 및 해당 자식 엔터티의 컨텍스트에서 명령을 실행 .show 합니다. |
- 관리 명령을 사용하여 할당됨 |
테이블 | 관리자 | 특정 테이블의 범위에 대한 전체 권한입니다. | - 작업 영역 관리자, 작업 영역 구성원 또는 작업 영역 기여자로 상속됨 - 편집 권한과 공유된 부모 항목(KQL 데이터베이스) - 관리 명령을 사용하여 할당됩니다. 부모 데이터베이스에 데이터베이스 사용자를 두는 것에 따라 달라집니다. |
테이블 | 수집자 | 데이터를 쿼리할 수 있는 액세스 권한 없이 테이블에 데이터를 수집합니다. | - 관리 명령을 사용하여 할당됩니다. 부모 데이터베이스에 데이터베이스 사용자 또는 데이터베이스 수집기가 있는 경우 종속됩니다. |
외부 테이블 | 관리자 | 특정 외부 테이블의 범위에 대한 전체 권한입니다. | - 관리 명령을 사용하여 할당됩니다. 부모 데이터베이스에 데이터베이스 사용자 또는 데이터베이스 뷰어가 있는 경우 종속됩니다. |
구체화된 뷰 | 관리자 | 보기를 변경하고, 보기를 삭제하고, 다른 보안 주체에게 관리자 권한을 부여할 수 있는 모든 권한입니다. | - 작업 영역 관리자, 작업 영역 구성원 또는 작업 영역 기여자로 상속됨 - 편집 권한과 공유된 부모 항목(KQL 데이터베이스) - 관리 명령을 사용하여 할당됩니다. 부모 항목에 데이터베이스 사용자 또는 테이블 관리자가 있는 경우 종속됩니다. |
함수 | 관리자 | 함수를 변경하고, 함수를 삭제하고, 다른 보안 주체에게 관리자 권한을 부여할 수 있는 모든 권한입니다. | - 작업 영역 관리자, 작업 영역 구성원 또는 작업 영역 기여자로 상속됨 - 편집 권한과 공유된 부모 항목(KQL 데이터베이스) - 관리 명령을 사용하여 할당됩니다. 부모 항목에 데이터베이스 사용자 또는 테이블 관리자가 있는 경우 종속됩니다. |