管理 Azure 数据资源管理器数据库权限Manage Azure Data Explorer database permissions

通过 Azure 数据资源管理器,可以使用基于角色的访问控制模型来控制对数据库和表的访问 。Azure Data Explorer enables you to control access to databases and tables, using a role-based access control model. 在此模型下,主体(用户、组和应用)将映射到角色 。Under this model, principals (users, groups, and apps) are mapped to roles. 主体可以根据分配的角色访问资源。Principals can access resources according to the roles they're assigned.

本文介绍可用角色以及如何使用 Azure 门户和 Azure 数据资源管理器管理命令将主体分配给这些角色。This article describes the available roles and how to assign principals to those roles using the Azure portal and Azure Data Explorer management commands.

角色和权限Roles and permissions

Azure 数据资源管理器具有以下角色:Azure Data Explorer has the following roles:

角色Role 权限Permissions
数据库管理员Database admin 可以在特定数据库的范围内执行任何操作。Can do anything in the scope of a particular database.
数据库用户Database user 可以读取数据库中的所有数据和元数据。Can read all data and metadata in the database. 此外,他们可以创建表(成为该表的表管理员)和数据库中的函数。Additionally, they can create tables (becoming the table admin for that table) and functions in the database.
数据库查看器Database viewer 可以读取数据库中的所有数据和元数据。Can read all data and metadata in the database.
数据库引入器Database ingestor 可以将数据提取到数据库中的所有现有表中,但不能查询数据。Can ingest data to all existing tables in the database, but not query the data.
数据库监视器Database monitor 可以在数据库及其子实体的上下文中执行“.show ...”命令。Can execute '.show ...' commands in the context of the database and its child entities.
表管理员Table admin 可以在特定表的范围内执行任何操作。Can do anything in the scope of a particular table.
表引入器Table ingestor 可以在特定表的范围内引入数据,但不能查询数据。Can ingest data in the scope of a particular table, but not query the data.

在 Azure 门户中管理权限Manage permissions in the Azure portal

  1. 登录 Azure 门户Sign in to the Azure portal.

  2. 导航到 Azure 数据资源管理器群集。Navigate to your Azure Data Explorer cluster.

  3. 在“概述”部分中,选择想要管理权限的数据库 。In the Overview section, select the database where you want to manage permissions.

    选择数据库

  4. 选择“权限”,然后选择“添加” 。Select Permissions then Add.

    数据库权限

  5. 在“添加数据库权限”下,选择要分配给主体的角色,然后选择“选择主体” 。Under Add database permissions, select the role that you want to assign the principal to, then Select principals.

    添加数据库权限

  6. 查找主体,请选择它,然后选择“选择” 。Look up the principal, select it, then Select.

    在 Azure 门户中管理权限

  7. 选择“保存”。 Select Save.

    在 Azure 门户中管理权限

使用管理命令管理权限Manage permissions with management commands

  1. 登录到 https://dataexplorer.azure.cn,如果尚不可用,请添加群集。Sign-in to https://dataexplorer.azure.cn, and add your cluster if it's not already available.

  2. 在左侧窗格中,选择相应的数据库。In the left pane, select the appropriate database.

  3. 使用 .add 命令将主体分配到角色:.add database databasename rolename ('aaduser | aadgroup=user@domain.com')Use the .add command to assign principals to roles: .add database databasename rolename ('aaduser | aadgroup=user@domain.com'). 若要将用户添加到数据库用户角色,请运行以下命令,替换数据库名称和用户。To add a user to the Database user role, run the following command, substituting your database name and user.

    .add database <TestDatabase> users ('aaduser=<user@contoso.com>')
    

    该命令的输出显示现有用户的列表以及他们在数据库中分配的角色。The output of the command shows the list of existing users and the roles they're assigned to in the database.

    有关 Azure Active Directory 和 Kusto 授权模型的示例,请参阅原则和标识提供者For examples pertaining to Azure Active Directory and the Kusto authorization model, please see Principles and Identity Providers

后续步骤Next steps

编写查询Write queries