Controle de acesso baseado em função
Aplica-se a: ✅Microsoft Fabric✅Azure Data Explorer
O Azure Data Explorer usa um modelo RBAC (controle de acesso baseado em função) no qual as entidades de segurança obtêm acesso aos recursos com base em suas funções atribuídas. As funções são definidas para um cluster, banco de dados, tabela, tabela externa, exibição materializada ou função específica. Quando definida para um cluster, a função se aplica a todos os bancos de dados no cluster. Quando definida para um banco de dados, a função se aplica a todas as entidades no banco de dados.
As funções do ARM (Azure Resource Manager), como proprietário da assinatura ou proprietário do cluster, concedem permissões de acesso para administração de recursos. Para administração de dados, você precisa das funções descritas neste documento.
Observação
Para excluir um banco de dados, você precisa de pelo menos permissões do ARM do Colaborador no cluster. Para atribuir permissões do ARM, consulte Atribuir funções do Azure usando o portal do Azure.
O Real-Time Intelligence in Fabric usa um modelo híbrido de controle de acesso baseado em função (RBAC) no qual as entidades principais obtêm acesso a recursos com base em suas funções atribuídas concedidas de uma ou ambas as duas fontes: Fabric e comandos de gerenciamento Kusto. O usuário terá a união dos papéis concedidos de ambas as fontes.
No Fabric, as funções podem ser atribuídas ou herdadas atribuindo uma função em um espaço de trabalho ou compartilhando um item específico com base no modelo de permissão do item.
Funções de malha
| Função | Permissões concedidas em itens |
|---|---|
| Administrador do espaço de trabalho | Função RBAC de administrador em todos os itens no workspace. |
| Membro do espaço de trabalho | Função RBAC de administrador em todos os itens no workspace. |
| Colaborador do espaço de trabalho | Função RBAC de administrador em todos os itens no workspace. |
| Visualizador de espaço de trabalho | Função RBAC do visualizador em todos os itens no espaço de trabalho. |
| Editor de itens | Função RBAC do administrador no item. |
| Visualizador de itens | Função RBAC do visualizador no item. |
As funções podem ser definidas ainda mais no plano de dados para um banco de dados, tabela, tabela externa, exibição materializada ou função específica, usando comandos de gerenciamento. Em ambos os casos, as funções aplicadas em um nível superior (Workspace, Eventhouse) são herdadas por níveis inferiores (Database, Table).
Funções e permissões
A tabela a seguir descreve as funções e permissões disponíveis em cada escopo.
A coluna Permissões exibe o acesso concedido a cada função.
A coluna Dependências lista as funções mínimas necessárias para obter a função nessa linha. Por exemplo, para se tornar um Administrador de Tabela, primeiro você deve ter uma função como Usuário do Banco de Dados ou uma função que inclua as permissões de Usuário do Banco de Dados, como Administrador do Banco de Dados ou AllDatabasesAdmin. Quando várias funções são listadas na coluna Dependências , apenas uma delas é necessária para obter a função.
A coluna Como a função é obtida oferece maneiras pelas quais a função pode ser concedida ou herdada.
A coluna Gerenciar oferece maneiras de adicionar ou remover entidades de função.
| Escopo | Função | Permissões | Dependências | Gerenciar |
|---|---|---|---|---|
| Cluster | AllDatabasesAdmin | Permissão total para todos os bancos de dados no cluster. Pode mostrar e alterar determinadas políticas no nível do cluster. Inclui todas as permissões. | Portal do Azure | |
| Cluster | Visualizador de todos os bancos de dados | Leia todos os dados e metadados de qualquer banco de dados no cluster. | Portal do Azure | |
| Cluster | Monitor de todos os bancos de dados | Execute .show comandos no contexto de qualquer banco de dados no cluster. |
Portal do Azure | |
| Backup de banco de dados | Administrador | Permissão total no escopo de um banco de dados específico. Inclui todas as permissões de nível inferior. | Portal do Azure ou comandos de gerenciamento | |
| Backup de banco de dados | Usuário | Leia todos os dados e metadados do banco de dados. Crie tabelas e funções e torne-se o administrador dessas tabelas e funções. | Portal do Azure ou comandos de gerenciamento | |
| Backup de banco de dados | Visualizador | Leia todos os dados e metadados, exceto tabelas com a política RestrictedViewAccess ativada. | Portal do Azure ou comandos de gerenciamento | |
| Backup de banco de dados | Visualizador irrestrito | Leia todos os dados e metadados, inclusive em tabelas com a política RestrictedViewAccess ativada. | Usuário de banco de dados ou visualizador de banco de dados | Portal do Azure ou comandos de gerenciamento |
| Backup de banco de dados | Ingestor | Ingerir dados em todas as tabelas do banco de dados sem acesso para consultar os dados. | Portal do Azure ou comandos de gerenciamento | |
| Backup de banco de dados | Monitor | Execute .show comandos no contexto do banco de dados e de suas entidades filho. |
Portal do Azure ou comandos de gerenciamento | |
| Tabela | Administrador | Permissão total no escopo de uma tabela específica. | Usuário de banco de dados | Comandos de gerenciamento |
| Tabela | Ingestor | Ingerir dados na tabela sem acesso para consultar os dados. | Usuário de banco de dados ou gestor de banco de dados | Comandos de gerenciamento |
| Tabela externa | Administrador | Permissão total no escopo de uma tabela externa específica. | Usuário de banco de dados ou visualizador de banco de dados | Comandos de gerenciamento |
| Exibição materializada | Administrador | Permissão total para alterar a exibição, excluir a exibição e conceder permissões de administrador a outra entidade principal. | Usuário de banco de dados ou administrador de tabela | Comandos de gerenciamento |
| Função | Administrador | Permissão total para alterar a função, excluir a função e conceder permissões de administrador a outra entidade principal. | Usuário de banco de dados ou administrador de tabela | Comandos de gerenciamento |
| Escopo | Função | Permissões | Como a função é obtida |
|---|---|---|---|
| Eventhouse | AllDatabasesAdmin | Permissão total para todos os bancos de dados na Casa de Eventos. Pode mostrar e alterar certas políticas no nível do Eventhouse. Inclui todas as permissões. | - Herdado como administrador do espaço de trabalho, membro do espaço de trabalho ou colaborador do espaço de trabalho. Não pode ser atribuído com comandos de gerenciamento. |
| Backup de banco de dados | Administrador | Permissão total no escopo de um banco de dados específico. Inclui todas as permissões de nível inferior. | - Herdado como administrador do espaço de trabalho, membro do espaço de trabalho ou colaborador do espaço de trabalho - Item compartilhado com permissões de edição. - Atribuído com comandos de gerenciamento |
| Backup de banco de dados | Usuário | Leia todos os dados e metadados do banco de dados. Crie tabelas e funções e torne-se o administrador dessas tabelas e funções. | - Atribuído com comandos de gerenciamento |
| Backup de banco de dados | Visualizador | Leia todos os dados e metadados, exceto tabelas com a política RestrictedViewAccess ativada. | - Item compartilhado com permissões de visualização. - Atribuído com comandos de gerenciamento |
| Backup de banco de dados | Visualizador irrestrito | Leia todos os dados e metadados, inclusive em tabelas com a política RestrictedViewAccess ativada. | - Atribuído com comandos de gerenciamento. Dependente de ter Usuário de Banco de Dados ou Visualizador de Banco de Dados. |
| Backup de banco de dados | Ingestor | Ingerir dados em todas as tabelas do banco de dados sem acesso para consultar os dados. | - Atribuído com comandos de gerenciamento |
| Backup de banco de dados | Monitor | Execute .show comandos no contexto do banco de dados e de suas entidades filho. |
- Atribuído com comandos de gerenciamento |
| Tabela | Administrador | Permissão total no escopo de uma tabela específica. | - Herdado como administrador do espaço de trabalho, membro do espaço de trabalho ou colaborador do espaço de trabalho - Item pai (banco de dados KQL) compartilhado com permissões de edição. - Atribuído com comandos de gerenciamento. Dependente de ter o usuário do banco de dados no banco de dados pai. |
| Tabela | Ingestor | Ingerir dados na tabela sem acesso para consultar os dados. | - Atribuído com comandos de gerenciamento. Dependente de ter Usuário de Banco de Dados ou Gestor de Banco de Dados no banco de dados pai. |
| Tabela externa | Administrador | Permissão total no escopo de uma tabela externa específica. | - Atribuído com comandos de gerenciamento. Dependente de ter Usuário do Banco de Dados ou Visualizador do Banco de Dados no banco de dados pai. |
| Exibição materializada | Administrador | Permissão total para alterar a exibição, excluir a exibição e conceder permissões de administrador a outra entidade principal. | - Herdado como administrador do espaço de trabalho, membro do espaço de trabalho ou colaborador do espaço de trabalho - Item pai (banco de dados KQL) compartilhado com permissões de edição. - Atribuído com comandos de gerenciamento. Dependente de ter Usuário de Banco de Dados ou Administrador de Tabela nos itens pai. |
| Função | Administrador | Permissão total para alterar a função, excluir a função e conceder permissões de administrador a outra entidade principal. | - Herdado como administrador do espaço de trabalho, membro do espaço de trabalho ou colaborador do espaço de trabalho - Item pai (banco de dados KQL) compartilhado com permissões de edição. - Atribuído com comandos de gerenciamento. Dependente de ter Usuário de Banco de Dados ou Administrador de Tabela nos itens pai. |