Управление доступом на основе ролей
Область применения: ✅Microsoft Fabric✅Azure Data Explorer
Azure Data Explorer использует модель управления доступом на основе ролей (RBAC), в которой субъекты получают доступ к ресурсам на основе назначенных ролей. Роли определяются для определенного кластера, базы данных, таблицы, внешней таблицы, материализованного представления или функции. При определении для кластера роль применяется ко всем базам данных в кластере. При определении для базы данных роль применяется ко всем сущностям в базе данных.
Роли Azure Resource Manager (ARM), такие как владелец подписки или владелец кластера, предоставляют разрешения на доступ для администрирования ресурсов. Для администрирования данных требуются роли, описанные в этом документе.
Примечание.
Чтобы удалить базу данных, вам потребуется по крайней мере разрешения ARM участника в кластере. Сведения о назначении разрешений ARM см. в статье "Назначение ролей Azure с помощью портал Azure".
Аналитика в режиме реального времени в Fabric использует гибридную модель управления доступом на основе ролей (RBAC), в которой субъекты получают доступ к ресурсам на основе назначенных ролей, предоставленных из одного или двух источников: Fabric и команд управления Kusto. Пользователь будет иметь объединение ролей, предоставленных из обоих источников.
В Структуре роли можно назначать или наследовать , назначая роль в рабочей области или предоставляя доступ к определенному элементу в зависимости от модели разрешений элемента.
Роли Структуры
| Роль | Разрешения, предоставленные для элементов |
|---|---|
| Администратор рабочей области | Роль администратора RBAC для всех элементов в рабочей области. |
| Член рабочей области | Роль администратора RBAC для всех элементов в рабочей области. |
| Участник рабочей области | Роль администратора RBAC для всех элементов в рабочей области. |
| Средство просмотра рабочей области | Просмотр роли RBAC для всех элементов в рабочей области. |
| Редактор элементов | Роль администратора RBAC в элементе. |
| Средство просмотра элементов | Роль RBAC в элементе. |
Роли можно также определить на плоскости данных для определенной базы данных, таблицы, внешней таблицы, материализованного представления или функции с помощью команд управления. В обоих случаях роли, применяемые на более высоком уровне (рабочая область, eventhouse) наследуются более низкими уровнями (база данных, таблица).
Роли и разрешения
В следующей таблице описаны роли и разрешения, доступные в каждой области.
В столбце "Разрешения" отображается доступ, предоставленный каждой роли.
В столбце Зависимостей перечислены минимальные роли, необходимые для получения роли в этой строке. Например, чтобы стать администратором таблицы, необходимо сначала иметь роль, например "Пользователь базы данных" или роль, которая включает разрешения пользователя базы данных, например администратор базы данных или AllDatabasesAdmin. Если несколько ролей перечислены в столбце зависимостей , для получения роли требуется только одна из них.
Метод получения роли предлагает способы предоставления или наследования роли.
Столбец "Управление" предлагает способы добавления или удаления субъектов ролей.
| Область | Роль | Разрешения | Зависимости | Управление |
|---|---|---|---|---|
| Кластер | AllDatabasesAdmin | Полное разрешение для всех баз данных в кластере. Может отображать и изменять определенные политики на уровне кластера. Включает все разрешения. | Портал Azure | |
| Кластер | AllDatabasesViewer | Чтение всех данных и метаданных любой базы данных в кластере. | Портал Azure | |
| Кластер | AllDatabasesMonitor | Выполните .show команды в контексте любой базы данных в кластере. |
Портал Azure | |
| База данных | Административный | Полное разрешение в области конкретной базы данных. Включает все разрешения нижнего уровня. | портал Azure или команды управления | |
| База данных | User | Чтение всех данных и метаданных базы данных. Создайте таблицы и функции и станут администратором этих таблиц и функций. | портал Azure или команды управления | |
| База данных | Наблюдатель | Чтение всех данных и метаданных, за исключением таблиц с включенной политикой RestrictedViewAccess. | портал Azure или команды управления | |
| База данных | Неограниченный просмотр | Чтение всех данных и метаданных, включая таблицы с включенной политикой RestrictedViewAccess. | Пользователь базы данных или средство просмотра базы данных | портал Azure или команды управления |
| База данных | Ingestor | Прием данных ко всем таблицам в базе данных без доступа к данным. | портал Azure или команды управления | |
| База данных | Azure Monitor | Выполните .show команды в контексте базы данных и ее дочерних сущностей. |
портал Azure или команды управления | |
| Таблица | Административный | Полное разрешение в области конкретной таблицы. | Пользователь базы данных | команды управления |
| Таблица | Ingestor | Прием данных в таблицу без доступа к данным. | Пользователь базы данных или Ingestor | команды управления |
| Внешняя таблица | Административный | Полное разрешение в области конкретной внешней таблицы. | Пользователь базы данных или средство просмотра базы данных | команды управления |
| Материализованное представление | Административный | Полное разрешение на изменение представления, удаление представления и предоставление прав администратора другому субъекту. | Администратор базы данных или пользователя таблицы | команды управления |
| Function | Административный | Полное разрешение на изменение функции, удаление функции и предоставление прав администратора другому субъекту. | Администратор базы данных или пользователя таблицы | команды управления |
| Область | Роль | Разрешения | Как получается роль |
|---|---|---|---|
| Eventhouse | AllDatabasesAdmin | Полное разрешение на все базы данных в Eventhouse. Может отображать и изменять определенные политики уровня Eventhouse. Включает все разрешения. | — Наследуется от имени администратора рабочей области, члена рабочей области или участника рабочей области. Не удается назначить команды управления. |
| База данных | Административный | Полное разрешение в области конкретной базы данных. Включает все разрешения нижнего уровня. | — наследуется как администратор рабочей области, участник рабочей области или участник рабочей области - Элемент, к которым предоставлен доступ с разрешениями на редактирование. — назначено командами управления |
| База данных | User | Чтение всех данных и метаданных базы данных. Создайте таблицы и функции и станут администратором этих таблиц и функций. | — назначено командами управления |
| База данных | Наблюдатель | Чтение всех данных и метаданных, за исключением таблиц с включенной политикой RestrictedViewAccess. | - Элемент, к которым предоставлен доступ с разрешениями просмотра. — назначено командами управления |
| База данных | Неограниченный просмотр | Чтение всех данных и метаданных, включая таблицы с включенной политикой RestrictedViewAccess. | — Назначено командами управления. Зависит от наличия пользователя базы данных или средства просмотра базы данных. |
| База данных | Ingestor | Прием данных ко всем таблицам в базе данных без доступа к данным. | — назначено командами управления |
| База данных | Azure Monitor | Выполните .show команды в контексте базы данных и ее дочерних сущностей. |
— назначено командами управления |
| Таблица | Административный | Полное разрешение в области конкретной таблицы. | — наследуется как администратор рабочей области, участник рабочей области или участник рабочей области — Родительский элемент (база данных KQL), общий доступ к которым предоставляется с разрешениями на редактирование. — Назначено командами управления. Зависит от наличия пользователя базы данных в родительской базе данных. |
| Таблица | Ingestor | Прием данных в таблицу без доступа к данным. | — Назначено командами управления. Зависит от наличия пользователя базы данных или Ingestor базы данных в родительской базе данных. |
| Внешняя таблица | Административный | Полное разрешение в области конкретной внешней таблицы. | — Назначено командами управления. Зависит от наличия пользователя базы данных или средства просмотра базы данных в родительской базе данных. |
| Материализованное представление | Административный | Полное разрешение на изменение представления, удаление представления и предоставление прав администратора другому субъекту. | — наследуется как администратор рабочей области, участник рабочей области или участник рабочей области — Родительский элемент (база данных KQL), общий доступ к которым предоставляется с разрешениями на редактирование. — Назначено командами управления. Зависит от наличия администратора базы данных или администратора таблицы на родительских элементах. |
| Function | Административный | Полное разрешение на изменение функции, удаление функции и предоставление прав администратора другому субъекту. | — наследуется как администратор рабочей области, участник рабочей области или участник рабочей области — Родительский элемент (база данных KQL), общий доступ к которым предоставляется с разрешениями на редактирование. — Назначено командами управления. Зависит от наличия администратора базы данных или администратора таблицы на родительских элементах. |