Azure Cosmos DB for Table 数据平面操作参考(预览版)

部署指南序列中当前位置(“参考”)的图表。

部署指南序列图,包括以下位置,顺序为:概述、概念、准备、基于角色的访问控制、参考。 “参考”位置当前已突出显示。

Azure Cosmos DB for Table 会在其本机基于角色的访问控制实现中公开一组唯一的数据操作。 本文包含这些操作的列表,以及针对每个操作授予哪些权限的说明。

警告

Azure Cosmos DB for Table 的本机基于角色的访问控制不支持 notDataActions 属性。 自动排除未指定为允许 dataAction 的任何操作。

数据操作

下面是可在角色定义中单独设置的数据操作的列表。

说明
Microsoft.DocumentDB/databaseAccounts/readMetadata 读取某些帐户元数据
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeQuery 针对表执行查询
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeStoredProcedure 执行表事务(过程)
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/create 创建新实体(项)
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/read 点使用行键和分区键读取单个实体(项)
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/replace 完全替换现有实体(项)
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/upsert 如果实体不存在,则创建实体(项),或者如果已存在,则替换实体
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/delete 删除实体(项)
Microsoft.DocumentDB/databaseAccounts/throughputSettings/read 读取当前吞吐量
Microsoft.DocumentDB/databaseAccounts/throughputSettings/write 修改当前吞吐量
Microsoft.DocumentDB/databaseAccounts/tables/write 创建或更新表
Microsoft.DocumentDB/databaseAccounts/tables/delete 删除表
Microsoft.DocumentDB/databaseAccounts/tables/containers/write 创建或更新容器
Microsoft.DocumentDB/databaseAccounts/tables/containers/delete 删除容器
Microsoft.DocumentDB/databaseAccounts/tables/containers/readChangeFeed 从容器的更改源读取
Microsoft.DocumentDB/databaseAccounts/tables/containers/manageConflicts 管理多写入区域帐户的冲突(列出并删除冲突源中的项)

数据操作通配符

操作的 tablescontainersentities 级别支持通配符 (*) 运算符。 使用通配符授予特定资源类型的广泛访问权限。

说明
Microsoft.DocumentDB/databaseAccounts/tables/* 在表上执行所有操作
Microsoft.DocumentDB/databaseAccounts/tables/containers/* 在容器上执行所有操作
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/* 在实体(项)上执行所有操作
Microsoft.DocumentDB/databaseAccounts/throughputSettings/* 执行与吞吐量相关的所有操作

必需元数据

Azure Cosmos DB 软件开发工具包 (SDK) 会在初始化期间发出只读元数据请求,并为特定的数据请求提供服务。 这些请求会提取各种配置详细信息,例如:

  • 帐户的全局配置,其中包括帐户可用的 Azure 区域
  • 容器或其索引策略的分区键
  • 构成容器及其地址的物理分区列表
  • 它们不会提取在帐户中存储的任何数据

为了确保最大程度地提高权限模型的透明度,这些元数据请求由 Microsoft.DocumentDB/databaseAccounts/readMetadata 数据操作显式覆盖。 在任何通过某个 Azure Cosmos DB SDK 访问 Azure Cosmos DB 帐户的情况下,都必须允许此操作。

在 Azure Cosmos DB 帐户层次结构的任何级别(包括帐户、数据库或容器)都可以分配该操作。 允许的实际元数据请求取决于范围:

  • 科目
    • 列出帐户下的数据库
    • 对于帐户下的每个数据库,数据库作用域允许的操作
    • 读取表元数据
    • 列出表下的容器
    • 对于表下的每个容器,容器范围内允许的操作
  • 容器
    • 读取容器元数据
    • 列出表下的物理分区
    • 解析每个物理分区的地址

重要

无法使用 Microsoft.DocumentDB/databaseAccounts/readMetadata 数据操作管理吞吐量。

数据平面角色