ロールベースのアクセス制御
Azure Data Explorer では、 principals 割り当てられたロールに基づいてリソースへのアクセスを取得するロールベースのアクセス制御 (RBAC) モデルを使用します。 ロールは、特定のクラスター、データベース、テーブル、外部テーブル、具体化されたビュー、または関数に対して定義されます。 クラスターに対して定義すると、ロールはクラスター内のすべてのデータベースに適用されます。 データベースに対して定義すると、ロールはデータベース内のすべてのエンティティに適用されます。
サブスクリプション所有者やクラスター所有者などの Azure Resource Manager (ARM) ロールは、リソース管理のアクセス許可を付与します。 データ管理には、このドキュメントで説明されているロールが必要です。
Note
データベースを削除するには、クラスターに対する少なくとも Contributor ARM アクセス許可が必要です。 ARM アクセス許可を割り当てるには、「 Azure portal を使用して Azure ロールを割り当てるを参照してください。
Fabric のリアルタイム インテリジェンスは、ハイブリッド ロールベースのアクセス制御 (RBAC) モデルを使用します。このモデルでは、 principals Fabric コマンドと Kusto 管理コマンドの 2 つのソースのいずれかまたは両方から付与された割り当てられたロールに基づいてリソースにアクセスできます。 ユーザーには、両方のソースから付与されたロールの和集合が与えられます。
Fabric 内でロールを割り当てたり継承したりするには、ワークスペースでロール割り当てるかitem アクセス許可モデルに基づいて特定のitem を共有します。
ファブリック ロール
| ロール | アイテムに付与されるアクセス許可 |
|---|---|
| Workspace Admin | ワークスペース内のすべての項目に対する管理者 RBAC ロール。 |
| Workspace Member | ワークスペース内のすべての項目に対する管理者 RBAC ロール。 |
| Workspace Contributor | ワークスペース内のすべての項目に対する管理者 RBAC ロール。 |
| Workspace Viewer | ワークスペース内のすべてのアイテムに対するビューアー RBAC ロール。 |
| Item Editor | アイテムの管理者 RBAC ロール。 |
| Item Viewer | アイテムのビューアー RBAC ロール。 |
ロールは、 管理コマンドを使用して、特定のデータベース、テーブル、外部テーブル、具体化されたビュー、または関数のデータ プレーンでさらに定義できます。 どちらの場合も、上位レベル (ワークスペース、Eventhouse) で適用されるロールは、下位レベル (データベース、テーブル) によって継承されます。
ロールとアクセス許可
次の表は、各スコープで使用できるロールとアクセス許可の概要を示しています。
Permissions 列には、各ロールに付与されたアクセス権が表示されます。
Dependencies列には、その行のロールを取得するために必要な最小限のロールが一覧表示されます。 たとえば、テーブル管理者になるには、まず、データベース ユーザーなどのロール、またはデータベース管理者や AllDatabasesAdmin などのデータベース ユーザーのアクセス許可を含むロールが必要です。 Dependencies 列に複数のロールが表示されている場合、ロールを取得するために必要なロールは 1 つだけです。
ロールの取得方法列には、ロールを付与または継承する方法が用意されています。
Manage 列には、ロール プリンシパルを追加または削除する方法が用意されています。
| 範囲 | ロール | アクセス許可 | 依存関係 | 管理 |
|---|---|---|---|---|
| クラスター | AllDatabasesAdmin | クラスター内のすべてのデータベースに対する完全なアクセス許可。 特定のクラスター レベルのポリシーを表示および変更できます。 すべてのアクセス許可が含まれます。 | Azure Portal | |
| クラスター | AllDatabasesViewer | クラスター内の任意のデータベースのすべてのデータとメタデータを読み取ります。 | Azure Portal | |
| クラスター | AllDatabasesMonitor | クラスター内の任意のデータベースのコンテキストで .show コマンドを実行します。 |
Azure Portal | |
| データベース | 管理者 | 特定のデータベースのスコープ内の完全なアクセス許可。 すべての下位レベルの 権限が含まれます。 | Azure portal または 管理コマンド | |
| データベース | User | データベースのすべてのデータとメタデータを読み取ります。 テーブルと関数を作成し、それらのテーブルと関数の管理者になります。 | Azure portal または 管理コマンド | |
| データベース | [ビューアー] | RestrictedViewAccess ポリシーが有効になっているテーブルを除きすべてのデータとメタデータを読み取ります。 | Azure portal または 管理コマンド | |
| データベース | Unrestrictedviewer | RestrictedViewAccess ポリシーが有効になっているテーブルを含む、すべてのデータとメタデータ読み取ります。 | データベース ユーザーまたはデータベース ビューアー | Azure portal または 管理コマンド |
| データベース | 取り込み者 | データベース内のすべてのテーブルにデータを取り込み、データに対してクエリを実行するアクセス権がありません。 | Azure portal または 管理コマンド | |
| データベース | モニター | データベースとその子エンティティのコンテキストで .show コマンドを実行します。 |
Azure portal または 管理コマンド | |
| テーブル | 管理者 | 特定のテーブルのスコープ内の完全なアクセス許可。 | データベース ユーザー | 管理コマンド |
| テーブル | 取り込み者 | データに対してクエリを実行するアクセス権を持たないテーブルにデータを取り込みます。 | データベース ユーザーまたはデータベース 取り込み子 | 管理コマンド |
| 外部テーブル | 管理者 | 特定の外部テーブルのスコープ内の完全なアクセス許可。 | データベース ユーザーまたはデータベース ビューアー | 管理コマンド |
| 具体化されたビュー | 管理者 | ビューを変更し、ビューを削除し、管理者アクセス許可を別のプリンシパルに付与するための完全なアクセス許可。 | データベース ユーザーまたはテーブル管理者 | 管理コマンド |
| 機能 | 管理者 | 関数を変更し、関数を削除し、管理者アクセス許可を別のプリンシパルに付与するための完全なアクセス許可。 | データベース ユーザーまたはテーブル管理者 | 管理コマンド |
| 範囲 | ロール | アクセス許可 | ロールの取得方法 |
|---|---|---|---|
| Eventhouse | AllDatabasesAdmin | Eventhouse 内のすべてのデータベースに対する完全なアクセス許可。 Eventhouse レベルの特定のポリシーを表示および変更できます。 すべてのアクセス許可が含まれます。 | - ワークスペース admin、ワークスペース member、またはワークスペース contributor として継承されます。 管理コマンドを使用して割り当てることはできません。 |
| データベース | 管理者 | 特定のデータベースのスコープ内の完全なアクセス許可。 すべての下位レベルの 権限が含まれます。 | - ワークスペース admin、ワークスペース member、またはワークスペース contributor として継承されます - 編集権限を持つ共有 アイテム。 - 管理コマンドで割り当てられます |
| データベース | User | データベースのすべてのデータとメタデータを読み取ります。 テーブルと関数を作成し、それらのテーブルと関数の管理者になります。 | - 管理コマンドで割り当てられます |
| データベース | [ビューアー] | RestrictedViewAccess ポリシーが有効になっているテーブルを除きすべてのデータとメタデータを読み取ります。 | - 表示権限を持つ共有 アイテム。 - 管理コマンドで割り当てられます |
| データベース | Unrestrictedviewer | RestrictedViewAccess ポリシーが有効になっているテーブルを含む、すべてのデータとメタデータ読み取ります。 | - 管理コマンドで割り当てられます。 Database User または Database Viewer が必要です。 |
| データベース | 取り込み者 | データベース内のすべてのテーブルにデータを取り込み、データに対してクエリを実行するアクセス権がありません。 | - 管理コマンドで割り当てられます |
| データベース | モニター | データベースとその子エンティティのコンテキストで .show コマンドを実行します。 |
- 管理コマンドで割り当てられます |
| テーブル | 管理者 | 特定のテーブルのスコープ内の完全なアクセス許可。 | - ワークスペース admin、ワークスペース member、またはワークスペース contributor として継承されます - 編集権限を持つ親アイテム (KQL データベース) 共有 。 - 管理コマンドで割り当てられます。 親データベースに Database User があることによって異なります。 |
| テーブル | 取り込み者 | データに対してクエリを実行するアクセス権を持たないテーブルにデータを取り込みます。 | - 管理コマンドで割り当てられます。 親データベースに Database User または Database Ingestor を設定することに依存します。 |
| 外部テーブル | 管理者 | 特定の外部テーブルのスコープ内の完全なアクセス許可。 | - 管理コマンドで割り当てられます。 親データベースに Database User または Database Viewer があることによって異なります。 |
| 具体化されたビュー | 管理者 | ビューを変更し、ビューを削除し、管理者アクセス許可を別のプリンシパルに付与するための完全なアクセス許可。 | - ワークスペース admin、ワークスペース member、またはワークスペース contributor として継承されます - 編集権限を持つ親アイテム (KQL データベース) 共有 。 - 管理コマンドで割り当てられます。 親アイテムに Database User または Table Admin を設定することに依存します。 |
| 機能 | 管理者 | 関数を変更し、関数を削除し、管理者アクセス許可を別のプリンシパルに付与するための完全なアクセス許可。 | - ワークスペース admin、ワークスペース member、またはワークスペース contributor として継承されます - 編集権限を持つ親アイテム (KQL データベース) 共有 。 - 管理コマンドで割り当てられます。 親アイテムに Database User または Table Admin を設定することに依存します。 |