使用 “版本 ”下拉列表切换服务。 了解有关导航的详细信息。
适用于:✅ Azure Data Explorer
Azure Data Explorer使用基于角色的access control(RBAC)模型,其中principals根据其分配的角色获取资源access。 角色是为特定群集、数据库、表、外部表、具体化视图或函数定义的。 如果是为群集定义的,该角色将应用于群集中的所有数据库。 如果是为数据库定义的,该角色将应用于数据库中的所有实体。
Azure Resource Manager(ARM)角色(例如订阅所有者或群集所有者)授予资源管理access权限。 对于数据管理,需要本文档中所述的角色。
注意
若要删除数据库,至少需要群集上的参与者 ARM 权限。 若要分配 ARM 权限,请参阅使用 Azure portalAzure 角色分配角色。
角色和权限
下表概述了在每个范围可用的角色和权限。
Permissions 列显示授予每个角色的access。
“依赖项”列列出了获取该行中的角色所需的最低角色。 例如,若要成为表管理员,你首先必须是“数据库用户”之类的角色,或者是拥有数据库用户权限的角色,例如数据库管理员或 AllDatabasesAdmin。 当“依赖项”列中列出了多个角色时,只需其中一个角色即可获取该角色。
“管理”列提供添加或删除角色主体的方法。
| Scope | 角色 | 权限 | 依赖项 | 管理 |
|---|---|---|---|---|
| 群集 | AllDatabasesAdmin | 对群集中所有数据库的完全权限。 可以显示和更改某些群集级别策略。 包括所有权限。 | Azure portal | |
| 群集 | AllDatabasesViewer | 读取群集中任意数据库的所有数据和元数据。 | Azure portal | |
| 群集 | AllDatabasesMonitor | 在群集中任意数据库的上下文中执行 .show 命令。 |
Azure portal | |
| 数据库 | 管理员 | 特定数据库范围内的完全权限。 包括所有较低级别的权限。 | Azure portal 或 management 命令 | |
| 数据库 | 用户 | 读取数据库的所有数据和元数据。 创建表和函数,并成为这些表和函数的管理员。 | Azure portal 或 management 命令 | |
| 数据库 | 查看者 | 读取除启用 RestrictedViewAccess 策略的表外的所有数据和元数据。 | Azure portal 或 management 命令 | |
| 数据库 | Unrestrictedviewer | 读取所有数据和元数据,包括启用 RestrictedViewAccess 策略的表中。 | 数据库用户或数据库查看者 | Azure portal 或 management 命令 |
| 数据库 | 引入者 | 将数据引入数据库中的所有表,而无需access查询数据。 | Azure portal 或 management 命令 | |
| 数据库 | 监视 | 在数据库及其子实体的上下文中执行 .show 命令。 |
Azure portal 或 management 命令 | |
| 表 | 管理员 | 特定表范围内的完全权限。 | 数据库用户 | 管理命令 |
| 表 | 引入者 | 将数据引入表而不access查询数据。 | 数据库用户或数据库引入者 | 管理命令 |
| 外部表 | 管理员 | 特定外部表范围内的完全权限。 | 数据库用户或数据库查看者 | 管理命令 |
| 具体化视图 | 管理员 | 拥有更改视图、删除视图以及向另一个主体授予管理员权限的完全权限。 | 数据库用户或表管理员 | 管理命令 |
| 函数 | 管理员 | 拥有更改函数、删除函数以及向另一个主体授予管理员权限的完全权限。 | 数据库用户或表管理员 | 管理命令 |
| Graph | GraphAdmin | 特定图形模型范围内的完全权限。 | 数据库用户 |