Azure Cosmos DB for NoSQL データ プレーン アクションリファレンス
適用対象: 
NoSQL
次の場所を含むデプロイ ガイドのシーケンスの図: 概要、概念、準備、ロールベースのアクセス制御、ネットワーク、リファレンス。 [参照] の場所は現在強調表示されています。
Azure Cosmos DB for NoSQL は、ネイティブロールベースのアクセス制御実装内で一意のデータ アクションセットを公開します。 この記事には、これらのアクションの一覧と、各アクションに付与されるアクセス許可の説明が含まれています。
警告
Azure Cosmos DB for NoSQL のネイティブ ロールベースのアクセス制御は、notDataActions プロパティをサポートしていません。 許可される dataAction として指定されていないアクションは、自動的に除外されます。
データ アクション
ロール定義で個別に設定できるデータ アクションの一覧を次に示します。
| 説明 | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/readMetadata |
データ プレーン操作 アカウントから取得されたメタデータ を読み取ります |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/create |
新しい項目を作成します |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read |
パーティション キーと一意識別子を使用してポイント読み取りを実行して、特定の項目を読み取ります |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/replace |
既存の項目を置き換えます |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/upsert |
新しい項目が存在しない場合、または既存の項目を置き換える場合に新しい項目を作成します |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/delete |
アイテムを削除します |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery |
NoSQL クエリを実行します |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed |
コンテナーの変更フィードからの読み取り |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeStoredProcedure |
ストアド プロシージャを実行します |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/manageConflicts |
競合フィードを使用してアカウントの競合を管理する |
Note
ソフトウェア開発キット (SDK) を使用して NoSQL クエリを実行するには、 Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery と Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed の両方のアクセス許可が必要です。
データ アクションのワイルドカード
ワイルドカードは、コンテナーレベルと項目レベルの両方でサポートされています。
| 説明 | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/* |
クエリの実行、変更フィードの読み取り、競合の管理、ストアド プロシージャの実行など、コンテナー固有のすべての操作を実行する |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/* |
アイテムの作成、読み取り、更新、置換、削除など、アイテム固有のすべての操作を実行する |
必須メタデータ
Azure Cosmos DB ソフトウェア開発キット (SDK) は、初期化中に読み取り専用メタデータ要求を発行し、特定のデータ要求を処理します。 これらの要求により、次のようなさまざまな構成の詳細がフェッチされます。
- アカウントのグローバル構成(アカウントが使用可能な Azure リージョンが含まれます)
- コンテナーまたはそのインデックス作成ポリシーのパーティション キー
- コンテナーとそのアドレスを作成する物理パーティションの一覧
- アカウントに格納されているデータはフェッチされません。
アクセス許可モデルの透明性を最大限に高めるために、これらのメタデータ要求は、 Microsoft.DocumentDB/databaseAccounts/readMetadata データ アクションによって明示的にカバーされます。 このアクションは、Azure Cosmos DB SDK のいずれかを介して Azure Cosmos DB アカウントにアクセスするすべての状況で許可する必要があります。
アクションは、アカウント、データベース、コンテナーなど、Azure Cosmos DB アカウントの階層内の任意のレベルで割り当てることができます。 許可される実際のメタデータ要求は、スコープによって異なります。
- 取引先企業
- アカウントの下にデータベースを一覧表示する
- アカウントの下のデータベースごとに、データベース スコープで許可されるアクション
- データベース
- データベース メタデータの読み取り
- データベースの下のコンテナーを一覧表示する
- データベースの下のコンテナーごとに、コンテナー スコープで許可されるアクション
- コンテナー
- コンテナー メタデータの読み取り
- コンテナーの下に物理パーティションを一覧表示する
- 各物理パーティションのアドレスの解決
重要
Microsoft.DocumentDB/databaseAccounts/readMetadata データ アクションではスループットを管理できません。