Contrôle d’accès en fonction du rôle
S’applique à : ✅Microsoft Fabric✅Azure Data Explorer
Azure Data Explorer utilise un modèle de contrôle d’accès en fonction du rôle (RBAC) dans lequel les principaux obtiennent l’accès aux ressources en fonction de leurs rôles attribués . Les rôles sont définis pour un cluster, une base de données, une table, une table externe, une vue matérialisée ou une fonction spécifiques. Lorsqu’il est défini pour un cluster, le rôle s’applique à toutes les bases de données du cluster. Lorsqu’il est défini pour une base de données, le rôle s’applique à toutes les entités de la base de données.
Les rôles Azure Resource Manager (ARM), tels que propriétaire de l’abonnement ou propriétaire du cluster, accordent des autorisations d’accès pour l’administration des ressources. Pour l’administration des données, vous avez besoin des rôles décrits dans ce document.
Remarque
Pour supprimer une base de données, vous avez besoin d’au moins des autorisations ARM contributeur sur le cluster. Pour attribuer des autorisations ARM, consultez Affecter des rôles Azure à l’aide de la Portail Azure.
Real-Time Intelligence in Fabric utilise un modèle de contrôle d’accès en fonction du rôle (RBAC) hybride dans lequel les principaux obtiennent l’accès aux ressources en fonction de leurs rôles attribués à partir d’une ou des deux sources : Fabric et Kusto management commands. L’utilisateur aura l’union des rôles accordés à partir des deux sources.
Dans Fabric, les rôles peuvent être attribués ou hérités en affectant un rôle dans un espace de travail ou en partageant un élément spécifique en fonction du modèle d’autorisation d’élément.
Rôles d’infrastructure
| Rôle | Autorisations accordées sur les éléments |
|---|---|
| Administrateur de l’espace de travail | Rôle RBAC administrateur sur tous les éléments de l’espace de travail. |
| Membre de l’espace de travail | Rôle RBAC administrateur sur tous les éléments de l’espace de travail. |
| Contributeur d’espace de travail | Rôle RBAC administrateur sur tous les éléments de l’espace de travail. |
| Visionneuse de l’espace de travail | Rôle RBAC de visionneuse sur tous les éléments de l’espace de travail. |
| Éditeur d’élément | Rôle RBAC administrateur sur l’élément. |
| Visionneuse d’éléments | Rôle RBAC de visionneuse sur l’élément. |
Les rôles peuvent également être définis sur le plan de données d’une base de données, d’une table, d’une table externe, d’une vue matérialisée ou d’une fonction, à l’aide de commandes de gestion. Dans les deux cas, les rôles appliqués à un niveau supérieur (Espace de travail, Eventhouse) sont hérités par des niveaux inférieurs (Base de données, Table).
Rôles et autorisations
Le tableau suivant présente les rôles et autorisations disponibles à chaque étendue.
La colonne Autorisations affiche l’accès accordé à chaque rôle.
La colonne Dépendances répertorie les rôles minimaux requis pour obtenir le rôle dans cette ligne. Par exemple, pour devenir administrateur de table, vous devez d’abord avoir un rôle tel que l’utilisateur de base de données ou un rôle qui inclut les autorisations de l’utilisateur de base de données, tel que l’administrateur de base de données ou AllDatabasesAdmin. Lorsque plusieurs rôles sont répertoriés dans la colonne Dépendances , un seul d’entre eux est nécessaire pour obtenir le rôle.
La façon dont le rôle est obtenu offre des façons dont le rôle peut être accordé ou hérité.
La colonne Gérer offre des moyens d’ajouter ou de supprimer des principaux de rôle.
| Étendue | Rôle | autorisations | Dépendances | Gérer |
|---|---|---|---|---|
| Cluster | AllDatabasesAdmin | Autorisation complète pour toutes les bases de données du cluster. Peut afficher et modifier certaines stratégies au niveau du cluster. Inclut toutes les autorisations. | Azure portal | |
| Cluster | AllDatabasesViewer | Lisez toutes les données et métadonnées de n’importe quelle base de données dans le cluster. | Azure portal | |
| Cluster | AllDatabasesMonitor | Exécutez .show des commandes dans le contexte de n’importe quelle base de données du cluster. |
Azure portal | |
| Base de données | Administrateur | Autorisation complète dans l’étendue d’une base de données particulière. Inclut toutes les autorisations de niveau inférieur. | Portail Azure ou commandes de gestion | |
| Base de données | Utilisateur | Lisez toutes les données et métadonnées de la base de données. Créez des tables et des fonctions, puis devenez l’administrateur pour ces tables et fonctions. | Portail Azure ou commandes de gestion | |
| Base de données | Visionneuse | Lisez toutes les données et métadonnées, à l’exception des tables avec la stratégie RestrictedViewAccess activée. | Portail Azure ou commandes de gestion | |
| Base de données | Viewer illimité | Lisez toutes les données et métadonnées, notamment dans les tables avec la stratégie RestrictedViewAccess activée. | Utilisateur de base de données ou Visionneuse de base de données | Portail Azure ou commandes de gestion |
| Base de données | Ingestion | Ingérer des données dans toutes les tables de la base de données sans accéder à l’interrogation des données. | Portail Azure ou commandes de gestion | |
| Base de données | Monitor | Exécutez .show des commandes dans le contexte de la base de données et de ses entités enfants. |
Portail Azure ou commandes de gestion | |
| Table | Administrateur | Autorisation complète dans l’étendue d’une table particulière. | Utilisateur de la base de données | commandes de gestion |
| Table | Ingestion | Ingérer des données dans la table sans accéder à l’interrogation des données. | Utilisateur de base de données ou ingestion de base de données | commandes de gestion |
| Table externe | Administrateur | Autorisation complète dans l’étendue d’une table externe particulière. | Utilisateur de base de données ou Visionneuse de base de données | commandes de gestion |
| Vue matérialisée | Administrateur | Autorisation complète pour modifier la vue, supprimer la vue et accorder des autorisations d’administrateur à un autre principal. | Utilisateur de base de données ou administrateur de table | commandes de gestion |
| Fonction | Administrateur | Autorisation complète pour modifier la fonction, supprimer la fonction et accorder des autorisations d’administrateur à un autre principal. | Utilisateur de base de données ou administrateur de table | commandes de gestion |
| Étendue | Rôle | autorisations | Obtention du rôle |
|---|---|---|---|
| Eventhouse | AllDatabasesAdmin | Autorisation complète pour toutes les bases de données dans eventhouse. Peut afficher et modifier certaines stratégies au niveau d’Eventhouse. Inclut toutes les autorisations. | - Hérité en tant qu’administrateur d’espace de travail, membre de l’espace de travail ou contributeur d’espace de travail. Impossible d’attribuer des commandes de gestion. |
| Base de données | Administrateur | Autorisation complète dans l’étendue d’une base de données particulière. Inclut toutes les autorisations de niveau inférieur. | - Hérité en tant qu’administrateur d’espace de travail, membre de l’espace de travail ou contributeur d’espace de travail - Élément partagé avec des autorisations d’édition. - Affecté à des commandes de gestion |
| Base de données | Utilisateur | Lisez toutes les données et métadonnées de la base de données. Créez des tables et des fonctions, puis devenez l’administrateur pour ces tables et fonctions. | - Affecté à des commandes de gestion |
| Base de données | Visionneuse | Lisez toutes les données et métadonnées, à l’exception des tables avec la stratégie RestrictedViewAccess activée. | - Élément partagé avec des autorisations d’affichage. - Affecté à des commandes de gestion |
| Base de données | Viewer illimité | Lisez toutes les données et métadonnées, notamment dans les tables avec la stratégie RestrictedViewAccess activée. | - Affecté à des commandes de gestion. Dépend de l’utilisation d’un utilisateur de base de données ou d’une visionneuse de base de données. |
| Base de données | Ingestion | Ingérer des données dans toutes les tables de la base de données sans accéder à l’interrogation des données. | - Affecté à des commandes de gestion |
| Base de données | Monitor | Exécutez .show des commandes dans le contexte de la base de données et de ses entités enfants. |
- Affecté à des commandes de gestion |
| Table | Administrateur | Autorisation complète dans l’étendue d’une table particulière. | - Hérité en tant qu’administrateur d’espace de travail, membre de l’espace de travail ou contributeur d’espace de travail - Élément parent (base de données KQL) partagé avec des autorisations de modification. - Affecté à des commandes de gestion. Dépendant de l’utilisation d’un utilisateur de base de données sur la base de données parente. |
| Table | Ingestion | Ingérer des données dans la table sans accéder à l’interrogation des données. | - Affecté à des commandes de gestion. Dépendant de l’utilisation de l’utilisateur de base de données ou de l’ingestion de base de données sur la base de données parente. |
| Table externe | Administrateur | Autorisation complète dans l’étendue d’une table externe particulière. | - Affecté à des commandes de gestion. Dépendant de l’utilisation de l’utilisateur de base de données ou de la visionneuse de base de données sur la base de données parente. |
| Vue matérialisée | Administrateur | Autorisation complète pour modifier la vue, supprimer la vue et accorder des autorisations d’administrateur à un autre principal. | - Hérité en tant qu’administrateur d’espace de travail, membre de l’espace de travail ou contributeur d’espace de travail - Élément parent (base de données KQL) partagé avec des autorisations de modification. - Affecté à des commandes de gestion. Dépend de l’utilisation d’un utilisateur de base de données ou d’un administrateur de table sur les éléments parents. |
| Fonction | Administrateur | Autorisation complète pour modifier la fonction, supprimer la fonction et accorder des autorisations d’administrateur à un autre principal. | - Hérité en tant qu’administrateur d’espace de travail, membre de l’espace de travail ou contributeur d’espace de travail - Élément parent (base de données KQL) partagé avec des autorisations de modification. - Affecté à des commandes de gestion. Dépend de l’utilisation d’un utilisateur de base de données ou d’un administrateur de table sur les éléments parents. |