基于角色的授权

授权是允许或禁止执行操作所需的安全主体权限的过程。 Azure 数据资源管理器使用“基于角色的访问控制”模型。在该模型中,经过身份验证的主体会被映射到角色,并根据分配的角色获得访问权限。

引擎服务具有以下角色:

角色 权限
所有数据库管理员 可以在任何数据库的范围内执行任何操作。 包括所有较低级别 All Databases 的权限。 可以显示和更改某些群集级别策略。
数据库管理员 可以在特定数据库的范围内执行任何操作。 包括所有较低级别的权限。
数据库用户 可以读取数据库的所有数据和元数据。 此外,可以创建表并成为这些表的表管理员,并在数据库中创建函数。
所有数据库查看者 可以读取任何数据库的所有数据和元数据。
数据库查看器 可以读取特定数据库的所有数据和元数据。
数据库引入器 可以将数据引入数据库中的所有现有表,但不能查询数据。
数据库 unrestrictedviewer 可以查询数据库中已启用 RestrictedViewAccess 策略的所有表。
所有数据库监视器 可在任何数据库及其子实体的上下文中执行 .show 命令。
数据库监视器 可以在数据库及其子实体的上下文中执行 .show 命令。
函数管理员 可以更改函数、删除函数或向其他主体授予管理员权限。
表管理员 可以在特定表的范围内执行任何操作。
表引入器 可以在特定表的范围内引入数据,但不能查询数据。

若要分配数据库角色,请参阅管理角色和权限

注意

若要授予来自其他租户的主体对群集的访问权限,请参阅允许跨租户查询和命令