Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Cosmos DB for NoSQL maakt een unieke set gegevensacties en rollen beschikbaar binnen de systeemeigen implementatie van op rollen gebaseerd toegangsbeheer. Dit artikel bevat een lijst met deze acties en rollen met beschrijvingen over welke machtigingen worden verleend voor elke resource.
Waarschuwing
Het systeemeigen toegangsbeheer op basis van rollen van Azure Cosmos DB voor NoSQL biedt geen ondersteuning voor de notDataActions eigenschap. Elke actie die niet is opgegeven als toegestaan dataAction , wordt automatisch uitgesloten.
Ingebouwde acties
Hier volgt een lijst met gegevensacties die afzonderlijk kunnen worden ingesteld in een roldefinitie.
| Beschrijving | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/readMetadata |
Vereiste metagegevens van account lezen voor bewerkingen van het gegevensvlak |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/create |
Nieuwe items maken |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read |
Leest specifieke items door een puntleesbewerking uit te voeren met behulp van de partitiesleutel en de unieke id |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/replace |
Bestaande items vervangen |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/upsert |
Hiermee maakt u een nieuw item als het niet bestaat of een bestaand item vervangt |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/delete |
Een item verwijderen |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery |
Hiermee wordt een NoSQL-query uitgevoerd |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed |
Leesbewerkingen uit de wijzigingenfeed van de container |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeStoredProcedure |
Opgeslagen procedures uitvoeren |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/manageConflicts |
Conflicten voor accounts beheren met behulp van de conflictfeed |
Opmerking
Als u NoSQL-query's wilt uitvoeren met behulp van de SDK's (Software Development Kits), moet u zowel de als Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery de Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed machtigingen hebben.
Jokertekens voor gegevensacties
Jokertekens worden ondersteund op zowel containers als items.
| Beschrijving | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/* |
Alle containerspecifieke bewerkingen uitvoeren, zoals het uitvoeren van query's, het lezen van de wijzigingenfeed, het beheren van conflicten en het uitvoeren van opgeslagen procedures |
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/* |
Alle itemspecifieke bewerkingen uitvoeren, zoals het maken, lezen, bijwerken, vervangen en verwijderen van items |
Ingebouwde rollen
Azure Cosmos DB for NoSQL definieert gegevensvlakspecifieke roldefinities. Deze rollen verschillen van azure-roldefinities voor op rollen gebaseerd toegangsbeheer.
Ingebouwde gegevenslezer van Cosmos DB
Id: 00000000-0000-0000-0000-000000000001
-
Opgenomen acties
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/readMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQueryMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed
Inzender voor ingebouwde Cosmos DB-gegevens
Id: 00000000-0000-0000-0000-000000000002
-
Opgenomen acties
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*
Vereiste metagegevens
De Sdk's (Software Development Kits) van Azure Cosmos DB geven alleen-lezen metagegevensaanvragen uit tijdens de initialisatie en om specifieke gegevensaanvragen te verwerken. Met deze aanvragen worden verschillende configuratiegegevens opgehaald, zoals:
- De globale configuratie van uw account, waaronder de Azure-regio's waarin het account beschikbaar is, is beschikbaar in
- De partitiesleutel van uw containers of hun indexeringsbeleid
- De lijst met fysieke partities die een container en hun adressen maken
- Ze halen geen gegevens op die zijn opgeslagen in uw account
Om de beste transparantie van ons machtigingsmodel te garanderen, worden deze metagegevensaanvragen expliciet gedekt door de Microsoft.DocumentDB/databaseAccounts/readMetadata gegevensactie. Deze actie moet worden toegestaan in elke situatie waarin uw Azure Cosmos DB-account wordt geopend via een van de Azure Cosmos DB SDK's.
De actie kan op elk niveau worden toegewezen in de hiërarchie van een Azure Cosmos DB-account, inclusief account, database of container. De werkelijke toegestane metagegevensaanvragen zijn afhankelijk van het bereik:
-
Rekening
- De databases onder het account weergeven
- Voor elke database onder het account zijn de toegestane acties in het databasebereik
-
Databank
- Databasemetagegevens lezen
- De containers onder de database weergeven
- Voor elke container onder de database zijn de toegestane acties binnen het containerbereik
-
Container
- Containermetagegevens lezen
- Fysieke partities onder de container weergeven
- Het adres van elke fysieke partitie oplossen
Belangrijk
U kunt de doorvoer niet beheren met de Microsoft.DocumentDB/databaseAccounts/readMetadata gegevensactie.