部署指南序列图,包括以下位置,顺序为:概述、概念、准备、基于角色的访问控制、参考。 “参考”位置当前已突出显示。
Azure Cosmos DB for Table 会在其本机基于角色的访问控制实现中公开一组唯一的数据操作。 本文包含这些操作的列表,以及针对每个操作授予哪些权限的说明。
警告
Azure Cosmos DB for Table 的本机基于角色的访问控制不支持 notDataActions
属性。 自动排除未指定为允许 dataAction
的任何操作。
下面是可在角色定义中单独设置的数据操作的列表。
说明 | |
---|---|
Microsoft.DocumentDB/databaseAccounts/readMetadata |
读取某些帐户元数据 |
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeQuery |
针对表执行查询 |
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeStoredProcedure |
执行表事务(过程) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/create |
创建新实体(项) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/read |
点使用行键和分区键读取单个实体(项) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/replace |
完全替换现有实体(项) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/upsert |
如果实体不存在,则创建实体(项),或者如果已存在,则替换实体 |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/delete |
删除实体(项) |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/read |
读取当前吞吐量 |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/write |
修改当前吞吐量 |
Microsoft.DocumentDB/databaseAccounts/tables/write |
创建或更新表 |
Microsoft.DocumentDB/databaseAccounts/tables/delete |
删除表 |
Microsoft.DocumentDB/databaseAccounts/tables/containers/write |
创建或更新容器 |
Microsoft.DocumentDB/databaseAccounts/tables/containers/delete |
删除容器 |
Microsoft.DocumentDB/databaseAccounts/tables/containers/readChangeFeed |
从容器的更改源读取 |
Microsoft.DocumentDB/databaseAccounts/tables/containers/manageConflicts |
管理多写入区域帐户的冲突(列出并删除冲突源中的项) |
操作的 tables
、containers
和 entities
级别支持通配符 (*
) 运算符。 使用通配符授予特定资源类型的广泛访问权限。
说明 | |
---|---|
Microsoft.DocumentDB/databaseAccounts/tables/* |
在表上执行所有操作 |
Microsoft.DocumentDB/databaseAccounts/tables/containers/* |
在容器上执行所有操作 |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/* |
在实体(项)上执行所有操作 |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/* |
执行与吞吐量相关的所有操作 |
Azure Cosmos DB 软件开发工具包 (SDK) 会在初始化期间发出只读元数据请求,并为特定的数据请求提供服务。 这些请求会提取各种配置详细信息,例如:
- 帐户的全局配置,其中包括帐户可用的 Azure 区域
- 容器或其索引策略的分区键
- 构成容器及其地址的物理分区列表
- 它们不会提取在帐户中存储的任何数据
为了确保最大程度地提高权限模型的透明度,这些元数据请求由 Microsoft.DocumentDB/databaseAccounts/readMetadata
数据操作显式覆盖。 在任何通过某个 Azure Cosmos DB SDK 访问 Azure Cosmos DB 帐户的情况下,都必须允许此操作。
在 Azure Cosmos DB 帐户层次结构的任何级别(包括帐户、数据库或容器)都可以分配该操作。 允许的实际元数据请求取决于范围:
- 科目
- 列出帐户下的数据库
- 对于帐户下的每个数据库,数据库作用域允许的操作
- 表
- 读取表元数据
- 列出表下的容器
- 对于表下的每个容器,容器范围内允许的操作
- 容器
- 读取容器元数据
- 列出表下的物理分区
- 解析每个物理分区的地址
重要
无法使用 Microsoft.DocumentDB/databaseAccounts/readMetadata
数据操作管理吞吐量。