Kontrola dostępu oparta na rolach
Dotyczy: ✅Microsoft Fabric✅Azure Data Explorer
Usługa Azure Data Explorer używa modelu kontroli dostępu opartej na rolach (RBAC), w którym podmioty zabezpieczeń uzyskują dostęp do zasobów na podstawie przypisanych ról. Role są definiowane dla określonego klastra, bazy danych, tabeli, tabeli zewnętrznej, zmaterializowanego widoku lub funkcji. Po zdefiniowaniu klastra rola ma zastosowanie do wszystkich baz danych w klastrze. Po zdefiniowaniu dla bazy danych rola ma zastosowanie do wszystkich jednostek w bazie danych.
Role usługi Azure Resource Manager (ARM), takie jak właściciel subskrypcji lub właściciel klastra, udzielają uprawnień dostępu do administrowania zasobami. W przypadku administrowania danymi potrzebne są role opisane w tym dokumencie.
Uwaga
Aby usunąć bazę danych, musisz mieć co najmniej uprawnienia współautora usługi ARM w klastrze. Aby przypisać uprawnienia usługi ARM, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
Analiza w czasie rzeczywistym w sieci szkieletowej używa hybrydowego modelu kontroli dostępu opartej na rolach (RBAC), w którym podmioty zabezpieczeń uzyskują dostęp do zasobów na podstawie przypisanych ról udzielonych z jednego lub obu źródeł: sieć szkieletowa i polecenia zarządzania Kusto. Użytkownik będzie miał związek ról przyznanych z obu źródeł.
W ramach sieci szkieletowej role można przypisywać lub dziedziczyć , przypisując rolę w obszarze roboczym lub udostępniając określony element na podstawie modelu uprawnień elementu.
Role sieci szkieletowej
Rola | Uprawnienia przyznane w elementach |
---|---|
Administrator obszaru roboczego | Rola RBAC administratora dla wszystkich elementów w obszarze roboczym. |
Element członkowski obszaru roboczego | Rola RBAC administratora dla wszystkich elementów w obszarze roboczym. |
Współautor obszaru roboczego | Rola RBAC administratora dla wszystkich elementów w obszarze roboczym. |
Podgląd obszaru roboczego | Rola RBAC przeglądarki dla wszystkich elementów w obszarze roboczym. |
Edytor elementów | Rola RBAC administratora w elemencie. |
Podgląd elementów | Rola RBAC osoby przeglądająca w elemencie. |
Role można dodatkowo zdefiniować na płaszczyźnie danych dla określonej bazy danych, tabeli, tabeli zewnętrznej, zmaterializowanego widoku lub funkcji przy użyciu poleceń zarządzania. W obu przypadkach role stosowane na wyższym poziomie (Workspace, Eventhouse) są dziedziczone przez niższe poziomy (baza danych, tabela).
Uprawnienia i role
W poniższej tabeli przedstawiono role i uprawnienia dostępne w każdym zakresie.
W kolumnie Uprawnienia zostanie wyświetlony dostęp przyznany każdemu roli.
Kolumna Dependencies (Zależności) zawiera listę minimalnych ról wymaganych do uzyskania roli w tym wierszu. Na przykład aby zostać administratorem tabeli, musisz najpierw mieć rolę taką jak Użytkownik bazy danych lub rola obejmująca uprawnienia użytkownika bazy danych, takie jak Administrator bazy danych lub AllDatabasesAdmin. Jeśli w kolumnie Zależności jest wyświetlanych wiele ról, do uzyskania roli potrzebny jest tylko jeden z nich.
Kolumna How the role is obtained (Sposób uzyskiwania roli) oferuje sposoby udzielenia lub dziedziczenia roli.
Kolumna Zarządzanie oferuje sposoby dodawania lub usuwania podmiotów zabezpieczeń ról.
Scope | Rola | Uprawnienia | Zależności | Zarządzanie |
---|---|---|---|---|
Klaster | AllDatabasesAdmin | Pełne uprawnienie do wszystkich baz danych w klastrze. Może wyświetlać i zmieniać niektóre zasady na poziomie klastra. Obejmuje wszystkie uprawnienia. | Witryna Azure Portal | |
Klaster | AllDatabasesViewer | Odczytywanie wszystkich danych i metadanych dowolnej bazy danych w klastrze. | Witryna Azure Portal | |
Klaster | AllDatabasesMonitor | Wykonaj .show polecenia w kontekście dowolnej bazy danych w klastrze. |
Witryna Azure Portal | |
baza danych | Administracja | Pełne uprawnienia w zakresie określonej bazy danych. Obejmuje wszystkie uprawnienia niższego poziomu. | Polecenia witryny Azure Portal lub zarządzania | |
baza danych | User | Odczytywanie wszystkich danych i metadanych bazy danych. Utwórz tabele i funkcje, a następnie zostań administratorem tych tabel i funkcji. | Polecenia witryny Azure Portal lub zarządzania | |
baza danych | Przeglądający | Odczytaj wszystkie dane i metadane, z wyjątkiem tabel z włączonymi zasadami funkcji RestrictedViewAccess. | Polecenia witryny Azure Portal lub zarządzania | |
baza danych | Bez ograniczeń | Odczytaj wszystkie dane i metadane, w tym w tabelach z włączonymi zasadami funkcji RestrictedViewAccess. | Użytkownik bazy danych lub przeglądarka bazy danych | Polecenia witryny Azure Portal lub zarządzania |
baza danych | Ingestor | Pozyskiwanie danych do wszystkich tabel w bazie danych bez dostępu do wykonywania zapytań dotyczących danych. | Polecenia witryny Azure Portal lub zarządzania | |
baza danych | Monitor | Wykonaj .show polecenia w kontekście bazy danych i jej jednostek podrzędnych. |
Polecenia witryny Azure Portal lub zarządzania | |
Table | Administracja | Pełne uprawnienie w zakresie określonej tabeli. | Użytkownik bazy danych | polecenia zarządzania |
Table | Ingestor | Pozyskiwanie danych do tabeli bez dostępu do wykonywania zapytań dotyczących danych. | Użytkownik bazy danych lub ingestor bazy danych | polecenia zarządzania |
Tabela zewnętrzna | Administracja | Pełne uprawnienie w zakresie określonej tabeli zewnętrznej. | Użytkownik bazy danych lub przeglądarka bazy danych | polecenia zarządzania |
Zmaterializowany widok | Administracja | Pełne uprawnienia do zmiany widoku, usunięcia widoku i udzielenia uprawnień administratora do innego podmiotu zabezpieczeń. | Użytkownik bazy danych lub administrator tabeli | polecenia zarządzania |
Function | Administracja | Pełne uprawnienia do zmiany funkcji, usunięcia funkcji i udzielenia uprawnień administratora do innego podmiotu zabezpieczeń. | Użytkownik bazy danych lub administrator tabeli | polecenia zarządzania |
Scope | Rola | Uprawnienia | Sposób uzyskiwania roli |
---|---|---|---|
Eventhouse | AllDatabasesAdmin | Pełne uprawnienie do wszystkich baz danych w usłudze Eventhouse. Może pokazywać i zmieniać niektóre zasady na poziomie usługi Eventhouse. Obejmuje wszystkie uprawnienia. | — Dziedziczone jako administrator obszaru roboczego, członek obszaru roboczego lub współautor obszaru roboczego. Nie można przypisać ich za pomocą poleceń zarządzania. |
baza danych | Administracja | Pełne uprawnienia w zakresie określonej bazy danych. Obejmuje wszystkie uprawnienia niższego poziomu. | — Dziedziczone jako administrator obszaru roboczego, członek obszaru roboczego lub współautor obszaru roboczego - Element udostępniony z uprawnieniami do edycji. - Przypisane za pomocą poleceń zarządzania |
baza danych | User | Odczytywanie wszystkich danych i metadanych bazy danych. Utwórz tabele i funkcje, a następnie zostań administratorem tych tabel i funkcji. | - Przypisane za pomocą poleceń zarządzania |
baza danych | Przeglądający | Odczytaj wszystkie dane i metadane, z wyjątkiem tabel z włączonymi zasadami funkcji RestrictedViewAccess. | - Element udostępniony z uprawnieniami do wyświetlania. - Przypisane za pomocą poleceń zarządzania |
baza danych | Bez ograniczeń | Odczytaj wszystkie dane i metadane, w tym w tabelach z włączonymi zasadami funkcji RestrictedViewAccess. | — Przypisane za pomocą poleceń zarządzania. Zależne od użytkownika bazy danych lub przeglądarki bazy danych. |
baza danych | Ingestor | Pozyskiwanie danych do wszystkich tabel w bazie danych bez dostępu do wykonywania zapytań dotyczących danych. | - Przypisane za pomocą poleceń zarządzania |
baza danych | Monitor | Wykonaj .show polecenia w kontekście bazy danych i jej jednostek podrzędnych. |
- Przypisane za pomocą poleceń zarządzania |
Table | Administracja | Pełne uprawnienie w zakresie określonej tabeli. | — Dziedziczone jako administrator obszaru roboczego, członek obszaru roboczego lub współautor obszaru roboczego — Element nadrzędny (baza danych KQL) udostępniony z uprawnieniami do edycji. — Przypisane za pomocą poleceń zarządzania. Zależne od użytkownika bazy danych w nadrzędnej bazie danych. |
Table | Ingestor | Pozyskiwanie danych do tabeli bez dostępu do wykonywania zapytań dotyczących danych. | — Przypisane za pomocą poleceń zarządzania. Zależne od użytkownika bazy danych lub ingestora bazy danych w nadrzędnej bazie danych. |
Tabela zewnętrzna | Administracja | Pełne uprawnienie w zakresie określonej tabeli zewnętrznej. | — Przypisane za pomocą poleceń zarządzania. Zależne od użytkownika bazy danych lub przeglądarki bazy danych w nadrzędnej bazie danych. |
Zmaterializowany widok | Administracja | Pełne uprawnienia do zmiany widoku, usunięcia widoku i udzielenia uprawnień administratora do innego podmiotu zabezpieczeń. | — Dziedziczone jako administrator obszaru roboczego, członek obszaru roboczego lub współautor obszaru roboczego — Element nadrzędny (baza danych KQL) udostępniony z uprawnieniami do edycji. — Przypisane za pomocą poleceń zarządzania. Zależne od posiadania użytkownika bazy danych lub administratora tabeli w elementach nadrzędnych. |
Function | Administracja | Pełne uprawnienia do zmiany funkcji, usunięcia funkcji i udzielenia uprawnień administratora do innego podmiotu zabezpieczeń. | — Dziedziczone jako administrator obszaru roboczego, członek obszaru roboczego lub współautor obszaru roboczego — Element nadrzędny (baza danych KQL) udostępniony z uprawnieniami do edycji. — Przypisane za pomocą poleceń zarządzania. Zależne od posiadania użytkownika bazy danych lub administratora tabeli w elementach nadrzędnych. |