Zarządzanie rolami zabezpieczeń bazy danych
Dotyczy: ✅Microsoft Fabric✅Azure Data Explorer
Podmioty zabezpieczeń otrzymują dostęp do zasobów za pośrednictwem modelu kontroli dostępu opartego na rolach, w którym przypisane role zabezpieczeń określają dostęp do zasobów.
W tym artykule dowiesz się, jak używać poleceń zarządzania do wyświetlania istniejących ról zabezpieczeń i dodawania i usuwania skojarzenia podmiotu zabezpieczeń do ról zabezpieczeń na poziomie bazy danych.
Uprawnienia
Aby uruchomić te polecenia, musisz mieć co najmniej uprawnienia administratora bazy danych.
Uwaga
Aby usunąć bazę danych, musisz mieć co najmniej uprawnienia współautora usługi Azure Resource Manager (ARM). Aby przypisać uprawnienia usługi ARM, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
Role zabezpieczeń na poziomie bazy danych
W poniższej tabeli przedstawiono możliwe role zabezpieczeń na poziomie bazy danych i opisano uprawnienia przyznane dla każdej roli.
| Rola | Uprawnienia |
|---|---|
admins |
Wyświetlanie i modyfikowanie jednostek bazy danych i bazy danych. |
users |
Wyświetl bazę danych i utwórz nowe jednostki bazy danych. |
viewers |
Wyświetl tabele w bazie danych, w których funkcja RestrictedViewAccess nie jest włączona. |
unrestrictedviewers |
Wyświetl tabele w bazie danych, nawet jeśli funkcja RestrictedViewAccess jest włączona. Podmiot zabezpieczeń musi również mieć adminsuprawnienia , viewerslub users . |
ingestors |
Pozyskiwanie danych do bazy danych bez dostępu do zapytania. |
monitors |
Wyświetlanie metadanych bazy danych, takich jak schematy, operacje i uprawnienia. |
Uwaga
Nie można przypisać viewer roli tylko dla niektórych tabel w bazie danych. Aby uzyskać różne podejścia dotyczące udzielania dostępu widoku podmiotu zabezpieczeń do podzbioru tabel, zobacz Zarządzanie dostępem do widoku tabeli.
Pokaż istniejące role zabezpieczeń
Przed dodaniem lub usunięciem podmiotów zabezpieczeń można użyć .show polecenia , aby wyświetlić tabelę ze wszystkimi jednostkami i rolami, które zostały już ustawione w bazie danych.
Składnia
Aby wyświetlić wszystkie role:
.showdatabase Nazwa bazy danych principals
Aby wyświetlić role:
.showdatabase principal Nazwa bazy danych roles
Dowiedz się więcej na temat konwencji składni.
Parametry
| Nazwisko | Type | Wymagania | opis |
|---|---|---|---|
| Nazwa bazy danych | string |
✔️ | Nazwa bazy danych, dla której ma być wyświetlana lista podmiotów zabezpieczeń. |
Przykład
Poniższe polecenie wyświetla listę wszystkich podmiotów zabezpieczeń, które mają dostęp do Samples bazy danych.
.show database Samples principals
Przykładowe dane wyjściowe
| Rola | Typ podmiotu zabezpieczeń | PrincipalDisplayName | PrincipalObjectId | PrincipalFQN |
|---|---|---|---|---|
| Administrator przykładów bazy danych | Użytkownik firmy Microsoft Entra | Abbi Atkins | cd709aed-a26c-e3953dec735e | aaduser=abbiatkins@fabrikam.com |
Dodawanie i usuwanie skojarzenia podmiotu zabezpieczeń do ról zabezpieczeń
Ta sekcja zawiera składnię, parametry i przykłady dodawania i usuwania podmiotów zabezpieczeń do i z ról zabezpieczeń.
Składnia
Action database DatabaseName Jednostka roli ( [, Podmiot zabezpieczeń...] [skip-results] ) [ Opis ]
Dowiedz się więcej na temat konwencji składni.
Parametry
| Nazwisko | Type | Wymagania | opis |
|---|---|---|---|
| Akcja | string |
✔️ | Polecenie .add, .droplub .set..add dodaje określone podmioty zabezpieczeń, .drop usuwa określone podmioty zabezpieczeń i .set dodaje określone podmioty zabezpieczeń i usuwa wszystkie poprzednie podmioty. |
| Nazwa bazy danych | string |
✔️ | Nazwa bazy danych, dla której mają zostać dodane podmioty zabezpieczeń. |
| Rola | string |
✔️ | Rola do przypisania do podmiotu zabezpieczeń. W przypadku baz danych role mogą mieć adminswartość , , users, viewersunrestrictedviewers, ingestorslub monitors. |
| Główny | string |
✔️ | Co najmniej jeden podmiot zabezpieczeń lub tożsamości zarządzane. Aby odwoływać się do tożsamości zarządzanych, użyj formatu "Aplikacja" przy użyciu identyfikatora obiektu tożsamości zarządzanej lub identyfikatora klienta tożsamości zarządzanej (aplikacji). Aby uzyskać wskazówki dotyczące sposobu określania tych podmiotów zabezpieczeń, zobacz Referencing Microsoft Entra principals and groups (Odwoływanie się do podmiotów zabezpieczeń i grup firmy Microsoft). |
skip-results |
string |
Jeśli zostanie podana, polecenie nie zwróci zaktualizowanej listy podmiotów zabezpieczeń bazy danych. | |
| Opis | string |
Tekst opisujący zmianę wyświetlaną .show podczas korzystania z polecenia . |
| Nazwisko | Type | Wymagania | opis |
|---|---|---|---|
| Akcja | string |
✔️ | Polecenie .add, .droplub .set..add dodaje określone podmioty zabezpieczeń, .drop usuwa określone podmioty zabezpieczeń i .set dodaje określone podmioty zabezpieczeń i usuwa wszystkie poprzednie podmioty. |
| Nazwa bazy danych | string |
✔️ | Nazwa bazy danych, dla której mają zostać dodane podmioty zabezpieczeń. |
| Rola | string |
✔️ | Rola do przypisania do podmiotu zabezpieczeń. W przypadku baz danych może to być admins, , users, viewersunrestrictedviewers, ingestors, lub monitors. |
| Główny | string |
✔️ | Co najmniej jeden podmiot zabezpieczeń. Aby uzyskać wskazówki dotyczące sposobu określania tych podmiotów zabezpieczeń, zobacz Referencing Microsoft Entra principals and groups (Odwoływanie się do podmiotów zabezpieczeń i grup firmy Microsoft). |
skip-results |
string |
Jeśli zostanie podana, polecenie nie zwróci zaktualizowanej listy podmiotów zabezpieczeń bazy danych. | |
| Opis | string |
Tekst opisujący zmianę wyświetlaną .show podczas korzystania z polecenia . |
Uwaga
Polecenie .set z none zamiast listy podmiotów zabezpieczeń spowoduje usunięcie wszystkich podmiotów zabezpieczeń określonej roli.
Przykłady
W poniższych przykładach zobaczysz, jak dodawać role zabezpieczeń, usuwać role zabezpieczeń i dodawać i usuwać role zabezpieczeń w tym samym poleceniu.
Dodawanie ról zabezpieczeń za pomocą polecenia .add
Poniższy przykład dodaje podmiot zabezpieczeń do users roli w Samples bazie danych.
.add database Samples users ('aaduser=imikeoein@fabrikam.com')
Poniższy przykład dodaje aplikację do viewers roli w Samples bazie danych.
.add database Samples viewers ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com')
Usuwanie ról zabezpieczeń za pomocą polecenia .drop
Poniższy przykład usuwa wszystkie podmioty zabezpieczeń w grupie z admins roli w Samples bazie danych.
.drop database Samples admins ('aadGroup=SomeGroupEmail@fabrikam.com')
Dodaj nowe role zabezpieczeń i usuń stare z zestawem .set
Poniższy przykład usuwa istniejące viewers i dodaje podane podmioty zabezpieczeń jako viewers w Samples bazie danych.
.set database Samples viewers ('aaduser=imikeoein@fabrikam.com', 'aaduser=abbiatkins@fabrikam.com')
Usuń wszystkie role zabezpieczeń z zestawem .set
Następujące polecenie usuwa wszystkie istniejące viewers w Samples bazie danych.
.set database Samples viewers none