Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо: ✅Microsoft Fabric✅Azure Data Explorer
Субъекты получают доступ к ресурсам через модель управления доступом на основе ролей, где назначенные роли безопасности определяют доступ к ресурсам.
Когда субъект пытается выполнить операцию, система выполняет проверку авторизации, чтобы убедиться, что субъект связан по крайней мере с одной ролью безопасности, которая предоставляет разрешения на выполнение операции. Сбой проверки авторизации прерывает операцию.
Команды управления, перечисленные в этой статье, можно использовать для управления субъектами и их ролями безопасности в базах данных, таблицах, внешних таблицах, материализованных представлениях и функциях.
Замечание
Роли безопасности не AllDatabasesViewer могут быть настроены с помощью команд управления ролями AllDatabasesAdminбезопасности. Они наследуются соответственно AdminViewer ролями в рабочей области.
Замечание
Три роли безопасности на уровне кластера и AllDatabasesViewerAllDatabasesMonitor не могут быть настроены с помощью команд управления ролями AllDatabasesAdminбезопасности.
Чтобы узнать, как настроить их на портале Azure, см. статью "Управление разрешениями кластера".
Команды управления
В следующей таблице описываются команды, используемые для управления ролями безопасности.
| командование | Описание |
|---|---|
.show |
Выводит список субъектов с заданной ролью. |
.add |
Добавляет в роль один или несколько субъектов. |
.drop |
Удаляет один или несколько субъектов из роли. |
.set |
Задает роль определенному списку субъектов, удаляя все предыдущие. |
Роли безопасности
В следующей таблице описывается уровень доступа, предоставленный для каждой роли, и показано, может ли роль быть назначена в заданном типе объекта.
| Должность | Разрешения | Базы данных | Таблицы | Внешние таблицы | Материализованные представления | Функции |
|---|---|---|---|---|---|---|
admins |
Просмотр, изменение и удаление объекта и вложенных объектов. | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
users |
Просмотрите объект и создайте подобъекты. | ✔️ | ||||
viewers |
Просмотрите объект, в котором Не включен Параметр RestrictedViewAccess . | ✔️ | ||||
unrestrictedviewers |
Просмотрите объект, даже если включен Параметр RestrictedViewAccess . Субъект также должен иметь adminsviewers разрешения или users разрешения. |
✔️ | ||||
ingestors |
Прием данных в объект без доступа к запросу. | ✔️ | ✔️ | |||
monitors |
Просмотр метаданных, таких как схемы, операции и разрешения. | ✔️ |
Полное описание ролей безопасности в каждой области см. в разделе "Управление доступом на основе ролей Kusto".
Замечание
Невозможно назначить viewer роль только для некоторых таблиц в базе данных. Различные подходы к предоставлению основного представления доступу к подмножествам таблиц см. в разделе "Управление доступом к представлению таблиц".
Распространенные сценарии
Отображение ролей субъекта
Чтобы просмотреть собственные роли в кластере, выполните следующую команду:
Чтобы просмотреть собственные роли в хранилище событий, выполните следующую команду:
.show cluster principal roles
Отображение ролей в ресурсе
Чтобы проверить роли, назначенные для определенного ресурса, выполните следующую команду в соответствующей базе данных или в базе данных, содержащей ресурс:
// For a database:
.show database DatabaseName principal roles
// For a table:
.show table TableName principal roles
// For an external table:
.show external table ExternalTableName principal roles
// For a function:
.show function FunctionName principal roles
// For a materialized view:
.show materialized-view MaterializedViewName principal roles
Отображение ролей всех субъектов в ресурсе
Чтобы просмотреть роли, назначенные всем субъектам для определенного ресурса, выполните следующую команду в соответствующей базе данных или в базе данных, содержащей ресурс:
// For a database:
.show database DatabaseName principals
// For a table:
.show table TableName principals
// For an external table:
.show external table ExternalTableName principals
// For a function:
.show function FunctionName principals
// For a materialized view:
.show materialized-view MaterializedViewName principals
Подсказка
Используйте оператор where для фильтрации результатов по определенному субъекту или роли.
Это важно
Если субъект находится в том же клиенте, что и пользователь, отображается полное имя (FQN).
Если субъект находится в другом клиенте, отличном от пользователя:
- Отображаемое имя не отображает полное доменное имя.
- Отображаемое имя указывает, что субъект находится в другом клиенте. Формат —
[User/Group/Application] from AAD tenant [Tenant Id]. - Чтобы добавить сведения об идентификации, назначьте субъекту роль в клиенте и используйте
Descriptionпараметр для добавления сведений об идентификации. ОтображаетсяDescriptionв столбце "Заметки " выходных данных.
Изменение назначений ролей
Дополнительные сведения об изменении назначений ролей на уровнях базы данных и таблиц см. в статье "Управление ролями безопасности базы данных " и "Управление ролями безопасности таблицы".