Gerenciar direitos de acesso de banco de dados
Aplica-se a: ✅Microsoft Fabric✅Azure Data Explorer
As entidades de segurança recebem acesso aos recursos por meio de um modelo de controle de acesso baseado em função, em que suas funções de segurança atribuídas determinam seu acesso a recursos.
Neste artigo, você aprenderá a usar comandos de gerenciamento para exibir direitos de acesso existentes e adicionar e descartar a associação de entidade de segurança aos direitos de acesso no nível do banco de dados.
Permissões
Você deve ter pelo menos permissões de administrador de banco de dados para executar esses comandos.
Observação
Para excluir um banco de dados, você precisa de pelo menos permissões do ARM (Azure Resource Manager) do Colaborador . Para atribuir permissões do ARM, consulte Atribuir funções do Azure usando o portal do Azure.
Direitos de acesso no nível do banco de dados
A tabela a seguir mostra as possíveis funções de segurança no nível do banco de dados e descreve as permissões concedidas para cada função.
| Função | Permissões |
|---|---|
admins |
Exibir e modificar o banco de dados e as entidades do banco de dados. |
users |
Exibir o banco de dados e criar novas entidades de banco de dados. |
viewers |
Exiba tabelas no banco de dados em que RestrictedViewAccess não está ativado. |
unrestrictedviewers |
Exiba as tabelas no banco de dados mesmo quando RestrictedViewAccess está ativado. A entidade de segurança também deve ter adminspermissões , viewers, or users . |
ingestors |
Ingerir dados no banco de dados sem acesso à consulta. |
monitors |
Visualize metadados de banco de dados, como esquemas, operações e permissões. |
Observação
Não é possível atribuir a viewer função apenas para algumas tabelas no banco de dados. Para obter diferentes abordagens sobre como conceder a uma exibição principal acesso a um subconjunto de tabelas, consulte gerenciar o acesso à exibição de tabela.
Mostrar direitos de acesso existentes
Antes de adicionar ou remover entidades principais, você pode usar o .show comando para ver uma tabela com todas as entidades e funções que já estão definidas no banco de dados.
Sintaxe
Para mostrar todas as funções:
.showdatabase Nome do banco de dados principals
Para mostrar suas funções:
.showdatabase Nome do banco de dados principal roles
Saiba mais sobre as convenções de sintaxe.
Parâmetros
| Nome | Digitar | Obrigatória | Descrição |
|---|---|---|---|
| DatabaseName | string |
✔️ | O nome do banco de dados para o qual listar as entidades principais. |
Exemplo
O comando a seguir lista todas as entidades de segurança que têm acesso ao Samples banco de dados.
.show database Samples principals
Saída de exemplo
| Função | PrincipalType | PrincipalDisplayName | PrincipalObjectId | PrincipalFQN |
|---|---|---|---|---|
| Administrador de Amostras de Banco de Dados | Usuário do Microsoft Entra | Abbi Atkins | CD709AED-A26C-E3953DEC735E | aaduser=abbiatkins@fabrikam.com |
Adicionar e descartar associação de entidade de segurança a direitos de acesso
Esta seção fornece sintaxe, parâmetros e exemplos para adicionar e remover entidades de segurança de e para funções de segurança.
Sintaxe
Ação database DatabaseName Função ( Principal [, Principal...] ) [skip-results] [ Descrição ]
Saiba mais sobre as convenções de sintaxe.
Parâmetros
| Nome | Digitar | Obrigatória | Descrição |
|---|---|---|---|
| Ação | string |
✔️ | O comando .add, .drop, ou .set..add Adiciona as entidades especificadas, .drop remove as entidades especificadas e .set adiciona as entidades especificadas e remove todas as anteriores. |
| DatabaseName | string |
✔️ | O nome do banco de dados para o qual adicionar entidades de segurança. |
| Função | string |
✔️ | A função a ser atribuída à entidade de segurança. Para bancos de dados, as funções podem ser admins, users, viewers, unrestrictedviewers, ingestors, ou monitors. |
| Principal | string |
✔️ | Uma ou mais entidades de segurança ou identidades gerenciadas. Para fazer referência a identidades gerenciadas, use o formato "Aplicativo" usando a ID do objeto de identidade gerenciada ou a ID do cliente de identidade gerenciada (aplicativo). Para obter diretrizes sobre como especificar essas entidades de segurança, consulte Referenciando entidades e grupos do Microsoft Entra. |
skip-results |
string |
Se fornecido, o comando não retornará a lista atualizada de entidades de banco de dados. | |
| Descrição | string |
Texto para descrever a alteração exibida ao usar o .show comando. |
| Nome | Digitar | Obrigatória | Descrição |
|---|---|---|---|
| Ação | string |
✔️ | O comando .add, .drop, ou .set..add Adiciona as entidades especificadas, .drop remove as entidades especificadas e .set adiciona as entidades especificadas e remove todas as anteriores. |
| DatabaseName | string |
✔️ | O nome do banco de dados para o qual adicionar entidades de segurança. |
| Função | string |
✔️ | A função a ser atribuída à entidade de segurança. Para bancos de dados, isso pode ser admins, users, viewers, unrestrictedviewers, ingestors, ou monitors. |
| Principal | string |
✔️ | Uma ou mais entidades principais. Para obter diretrizes sobre como especificar essas entidades de segurança, consulte Referenciando entidades e grupos do Microsoft Entra. |
skip-results |
string |
Se fornecido, o comando não retornará a lista atualizada de entidades de banco de dados. | |
| Descrição | string |
Texto para descrever a alteração exibida ao usar o .show comando. |
Observação
O .set comando com none em vez de uma lista de entidades removerá todas as entidades da função especificada.
Exemplos
Nos exemplos a seguir, você verá como adicionar direitos de acesso, remover direitos de acesso e adicionar e remover direitos de acesso no mesmo comando.
Adicionar direitos de acesso com .add
O exemplo a seguir adiciona uma entidade de segurança à users função no Samples banco de dados.
.add database Samples users ('aaduser=imikeoein@fabrikam.com')
O exemplo a seguir adiciona um aplicativo à viewers função no Samples banco de dados.
.add database Samples viewers ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com')
Remover direitos de acesso com .drop
O exemplo a seguir remove todas as entidades de segurança do grupo da admins função no Samples banco de dados.
.drop database Samples admins ('aadGroup=SomeGroupEmail@fabrikam.com')
Adicione novos direitos de acesso e remova o antigo com .set
O exemplo a seguir remove as entidades existentes viewers e adiciona as entidades fornecidas como viewers no Samples banco de dados.
.set database Samples viewers ('aaduser=imikeoein@fabrikam.com', 'aaduser=abbiatkins@fabrikam.com')
Remover todos os direitos de acesso com .set
O comando a seguir remove todos os existentes viewers no Samples banco de dados.
.set database Samples viewers none