Udostępnij za pośrednictwem


Kontrola dostępu oparta na rolach

Dotyczy: ✅Microsoft Fabric✅Azure Data Explorer

Usługa Azure Data Explorer używa modelu kontroli dostępu opartej na rolach (RBAC), w którym podmioty zabezpieczeń uzyskują dostęp do zasobów na podstawie przypisanych ról. Role są definiowane dla określonego klastra, bazy danych, tabeli, tabeli zewnętrznej, zmaterializowanego widoku lub funkcji. Po zdefiniowaniu klastra rola ma zastosowanie do wszystkich baz danych w klastrze. Po zdefiniowaniu dla bazy danych rola ma zastosowanie do wszystkich jednostek w bazie danych.

Role usługi Azure Resource Manager (ARM), takie jak właściciel subskrypcji lub właściciel klastra, udzielają uprawnień dostępu do administrowania zasobami. W przypadku administrowania danymi potrzebne są role opisane w tym dokumencie.

Uwaga

Aby usunąć bazę danych, musisz mieć co najmniej uprawnienia współautora usługi ARM w klastrze. Aby przypisać uprawnienia usługi ARM, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

Analiza w czasie rzeczywistym w sieci szkieletowej używa hybrydowego modelu kontroli dostępu opartej na rolach (RBAC), w którym podmioty zabezpieczeń uzyskują dostęp do zasobów na podstawie przypisanych ról udzielonych z jednego lub obu źródeł: sieć szkieletowa i polecenia zarządzania Kusto. Użytkownik będzie miał związek ról przyznanych z obu źródeł.

W ramach sieci szkieletowej role można przypisywać lub dziedziczyć , przypisując rolę w obszarze roboczym lub udostępniając określony element na podstawie modelu uprawnień elementu.

Role sieci szkieletowej

Rola Uprawnienia przyznane w elementach
Administrator obszaru roboczego Rola RBAC administratora dla wszystkich elementów w obszarze roboczym.
Element członkowski obszaru roboczego Rola RBAC administratora dla wszystkich elementów w obszarze roboczym.
Współautor obszaru roboczego Rola RBAC administratora dla wszystkich elementów w obszarze roboczym.
Podgląd obszaru roboczego Rola RBAC przeglądarki dla wszystkich elementów w obszarze roboczym.
Edytor elementów Rola RBAC administratora w elemencie.
Podgląd elementów Rola RBAC osoby przeglądająca w elemencie.

Role można dodatkowo zdefiniować na płaszczyźnie danych dla określonej bazy danych, tabeli, tabeli zewnętrznej, zmaterializowanego widoku lub funkcji przy użyciu poleceń zarządzania. W obu przypadkach role stosowane na wyższym poziomie (Workspace, Eventhouse) są dziedziczone przez niższe poziomy (baza danych, tabela).

Uprawnienia i role

W poniższej tabeli przedstawiono role i uprawnienia dostępne w każdym zakresie.

W kolumnie Uprawnienia zostanie wyświetlony dostęp przyznany każdemu roli.

Kolumna Dependencies (Zależności) zawiera listę minimalnych ról wymaganych do uzyskania roli w tym wierszu. Na przykład aby zostać administratorem tabeli, musisz najpierw mieć rolę taką jak Użytkownik bazy danych lub rola obejmująca uprawnienia użytkownika bazy danych, takie jak Administrator bazy danych lub AllDatabasesAdmin. Jeśli w kolumnie Zależności jest wyświetlanych wiele ról, do uzyskania roli potrzebny jest tylko jeden z nich.

Kolumna How the role is obtained (Sposób uzyskiwania roli) oferuje sposoby udzielenia lub dziedziczenia roli.

Kolumna Zarządzanie oferuje sposoby dodawania lub usuwania podmiotów zabezpieczeń ról.

Scope Rola Uprawnienia Zależności Zarządzanie
Klaster AllDatabasesAdmin Pełne uprawnienie do wszystkich baz danych w klastrze. Może wyświetlać i zmieniać niektóre zasady na poziomie klastra. Obejmuje wszystkie uprawnienia. Witryna Azure Portal
Klaster AllDatabasesViewer Odczytywanie wszystkich danych i metadanych dowolnej bazy danych w klastrze. Witryna Azure Portal
Klaster AllDatabasesMonitor Wykonaj .show polecenia w kontekście dowolnej bazy danych w klastrze. Witryna Azure Portal
baza danych Administracja Pełne uprawnienia w zakresie określonej bazy danych. Obejmuje wszystkie uprawnienia niższego poziomu. Polecenia witryny Azure Portal lub zarządzania
baza danych User Odczytywanie wszystkich danych i metadanych bazy danych. Utwórz tabele i funkcje, a następnie zostań administratorem tych tabel i funkcji. Polecenia witryny Azure Portal lub zarządzania
baza danych Przeglądający Odczytaj wszystkie dane i metadane, z wyjątkiem tabel z włączonymi zasadami funkcji RestrictedViewAccess. Polecenia witryny Azure Portal lub zarządzania
baza danych Bez ograniczeń Odczytaj wszystkie dane i metadane, w tym w tabelach z włączonymi zasadami funkcji RestrictedViewAccess. Użytkownik bazy danych lub przeglądarka bazy danych Polecenia witryny Azure Portal lub zarządzania
baza danych Ingestor Pozyskiwanie danych do wszystkich tabel w bazie danych bez dostępu do wykonywania zapytań dotyczących danych. Polecenia witryny Azure Portal lub zarządzania
baza danych Monitor Wykonaj .show polecenia w kontekście bazy danych i jej jednostek podrzędnych. Polecenia witryny Azure Portal lub zarządzania
Table Administracja Pełne uprawnienie w zakresie określonej tabeli. Użytkownik bazy danych polecenia zarządzania
Table Ingestor Pozyskiwanie danych do tabeli bez dostępu do wykonywania zapytań dotyczących danych. Użytkownik bazy danych lub ingestor bazy danych polecenia zarządzania
Tabela zewnętrzna Administracja Pełne uprawnienie w zakresie określonej tabeli zewnętrznej. Użytkownik bazy danych lub przeglądarka bazy danych polecenia zarządzania
Zmaterializowany widok Administracja Pełne uprawnienia do zmiany widoku, usunięcia widoku i udzielenia uprawnień administratora do innego podmiotu zabezpieczeń. Użytkownik bazy danych lub administrator tabeli polecenia zarządzania
Function Administracja Pełne uprawnienia do zmiany funkcji, usunięcia funkcji i udzielenia uprawnień administratora do innego podmiotu zabezpieczeń. Użytkownik bazy danych lub administrator tabeli polecenia zarządzania
Scope Rola Uprawnienia Sposób uzyskiwania roli
Eventhouse AllDatabasesAdmin Pełne uprawnienie do wszystkich baz danych w usłudze Eventhouse. Może pokazywać i zmieniać niektóre zasady na poziomie usługi Eventhouse. Obejmuje wszystkie uprawnienia. — Dziedziczone jako administrator obszaru roboczego, członek obszaru roboczego lub współautor obszaru roboczego.

Nie można przypisać ich za pomocą poleceń zarządzania.
baza danych Administracja Pełne uprawnienia w zakresie określonej bazy danych. Obejmuje wszystkie uprawnienia niższego poziomu. — Dziedziczone jako administrator obszaru roboczego, członek obszaru roboczego lub współautor obszaru roboczego
- Element udostępniony z uprawnieniami do edycji.
- Przypisane za pomocą poleceń zarządzania
baza danych User Odczytywanie wszystkich danych i metadanych bazy danych. Utwórz tabele i funkcje, a następnie zostań administratorem tych tabel i funkcji. - Przypisane za pomocą poleceń zarządzania
baza danych Przeglądający Odczytaj wszystkie dane i metadane, z wyjątkiem tabel z włączonymi zasadami funkcji RestrictedViewAccess. - Element udostępniony z uprawnieniami do wyświetlania.
- Przypisane za pomocą poleceń zarządzania
baza danych Bez ograniczeń Odczytaj wszystkie dane i metadane, w tym w tabelach z włączonymi zasadami funkcji RestrictedViewAccess. — Przypisane za pomocą poleceń zarządzania. Zależne od użytkownika bazy danych lub przeglądarki bazy danych.
baza danych Ingestor Pozyskiwanie danych do wszystkich tabel w bazie danych bez dostępu do wykonywania zapytań dotyczących danych. - Przypisane za pomocą poleceń zarządzania
baza danych Monitor Wykonaj .show polecenia w kontekście bazy danych i jej jednostek podrzędnych. - Przypisane za pomocą poleceń zarządzania
Table Administracja Pełne uprawnienie w zakresie określonej tabeli. — Dziedziczone jako administrator obszaru roboczego, członek obszaru roboczego lub współautor obszaru roboczego
— Element nadrzędny (baza danych KQL) udostępniony z uprawnieniami do edycji.
— Przypisane za pomocą poleceń zarządzania. Zależne od użytkownika bazy danych w nadrzędnej bazie danych.
Table Ingestor Pozyskiwanie danych do tabeli bez dostępu do wykonywania zapytań dotyczących danych. — Przypisane za pomocą poleceń zarządzania. Zależne od użytkownika bazy danych lub ingestora bazy danych w nadrzędnej bazie danych.
Tabela zewnętrzna Administracja Pełne uprawnienie w zakresie określonej tabeli zewnętrznej. — Przypisane za pomocą poleceń zarządzania. Zależne od użytkownika bazy danych lub przeglądarki bazy danych w nadrzędnej bazie danych.
Zmaterializowany widok Administracja Pełne uprawnienia do zmiany widoku, usunięcia widoku i udzielenia uprawnień administratora do innego podmiotu zabezpieczeń. — Dziedziczone jako administrator obszaru roboczego, członek obszaru roboczego lub współautor obszaru roboczego
— Element nadrzędny (baza danych KQL) udostępniony z uprawnieniami do edycji.
— Przypisane za pomocą poleceń zarządzania. Zależne od posiadania użytkownika bazy danych lub administratora tabeli w elementach nadrzędnych.
Function Administracja Pełne uprawnienia do zmiany funkcji, usunięcia funkcji i udzielenia uprawnień administratora do innego podmiotu zabezpieczeń. — Dziedziczone jako administrator obszaru roboczego, członek obszaru roboczego lub współautor obszaru roboczego
— Element nadrzędny (baza danych KQL) udostępniony z uprawnieniami do edycji.
— Przypisane za pomocą poleceń zarządzania. Zależne od posiadania użytkownika bazy danych lub administratora tabeli w elementach nadrzędnych.