Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Cosmos DB for Table exponerar en unik uppsättning dataåtgärder och roller i den inbyggda rollbaserade implementeringen av åtkomstkontroll. Den här artikeln innehåller en lista över dessa åtgärder och roller med beskrivningar om vilka behörigheter som beviljas för varje resurs.
Varning
Azure Cosmos DB for Tables inbyggda rollbaserade åtkomstkontroll stöder inte egenskapen notDataActions . Alla åtgärder som inte anges som tillåtna dataAction undantas automatiskt.
Inbyggda åtgärder
Här är en lista över dataåtgärder som kan anges individuellt i en rolldefinition.
| Description | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/readMetadata |
Läsa några kontometadata |
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeQuery |
Kör en fråga mot en tabell |
Microsoft.DocumentDB/databaseAccounts/tables/containers/executeStoredProcedure |
Kör en tabelltransaktion (procedur) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/create |
Skapar en ny entitet (objekt) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/read |
Punkt läser en enskild entitet (objekt) med hjälp av rad- och partitionsnycklarna |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/replace |
Ersätter helt en befintlig entitet (objekt) |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/upsert |
Skapar en entitet (objekt) om den inte finns eller ersätter entiteten om den redan finns |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/delete |
Tar bort en entitet (objekt) |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/read |
Läs det aktuella dataflödet |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/write |
Ändra aktuellt dataflöde |
Microsoft.DocumentDB/databaseAccounts/tables/write |
Skapa eller uppdatera en tabell |
Microsoft.DocumentDB/databaseAccounts/tables/delete |
Ta bort en tabell |
Microsoft.DocumentDB/databaseAccounts/tables/containers/write |
Skapa eller uppdatera en container |
Microsoft.DocumentDB/databaseAccounts/tables/containers/delete |
Ta bort en container |
Microsoft.DocumentDB/databaseAccounts/tables/containers/readChangeFeed |
Läsa från containerns ändringsflöde |
Microsoft.DocumentDB/databaseAccounts/tables/containers/manageConflicts |
Hantera konflikter för konton med flera skrivningsregioner (lista och ta bort objekt från konfliktflödet) |
Jokertecken för dataåtgärder
Jokertecknet (*) stöds på tablesnivåerna , containersoch entities för åtgärder. Använd jokertecknet för att ge bred åtkomst till en viss resurstyp.
| Description | |
|---|---|
Microsoft.DocumentDB/databaseAccounts/tables/* |
Utföra alla åtgärder i tabeller |
Microsoft.DocumentDB/databaseAccounts/tables/containers/* |
Utföra alla åtgärder på containrar |
Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/* |
Utföra alla åtgärder på entiteter (objekt) |
Microsoft.DocumentDB/databaseAccounts/throughputSettings/* |
Utföra alla åtgärder som rör dataflöde |
Nödvändiga metadata för åtgärder
Azure Cosmos DB-programutvecklingspaket (SDK:er) utfärdar skrivskyddade metadatabegäranden under initieringen och för att hantera specifika databegäranden. Dessa begäranden hämtar olika konfigurationsinformation, till exempel:
- Den globala konfigurationen av ditt konto, som omfattar de Azure-regioner som kontot är tillgängligt i
- Partitionsnyckeln för dina containrar eller deras indexeringsprincip
- Listan över fysiska partitioner som skapar en container och deras adresser
- De hämtar inte någon av de data som lagras i ditt konto
För att säkerställa bästa möjliga transparens i vår behörighetsmodell omfattas dessa metadatabegäranden uttryckligen av dataåtgärden Microsoft.DocumentDB/databaseAccounts/readMetadata . Den här åtgärden måste tillåtas i alla situationer där ditt Azure Cosmos DB-konto nås via någon av Azure Cosmos DB SDK:erna.
Åtgärden kan tilldelas på valfri nivå i ett Azure Cosmos DB-kontohierarki, inklusive konto, databas eller container. De faktiska metadatabegäranden som tillåts beror på omfånget:
-
Konto
- Visa en lista över databaserna under kontot
- För varje databas under kontot tillåts åtgärder i databasomfånget
-
Tabell
- Läsa tabellmetadata
- Visa en lista över containrarna under tabellen
- De tillåtna åtgärderna i containeromfånget för varje container under tabellen
-
Container
- Läsa containermetadata
- Visa en lista över fysiska partitioner under tabellen
- Lösa adressen för varje fysisk partition
Viktigt!
Du kan inte hantera dataflödet med dataåtgärden Microsoft.DocumentDB/databaseAccounts/readMetadata .
Inbyggda roller
Azure Cosmos DB for Table definierar dataplansspecifika rolldefinitioner. De här rollerna skiljer sig från rolldefinitioner för rolldefinitioner för Azure-roll för åtkomstkontroll.
Inbyggd Cosmos DB-dataläsare
ID: 00000000-0000-0000-0000-000000000001
-
Inkluderade åtgärder
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/tables/containers/entities/read
Inbyggd Cosmos DB-datadeltagare
ID: 00000000-0000-0000-0000-000000000002
-
Inkluderade åtgärder
Microsoft.DocumentDB/databaseAccounts/readMetadataMicrosoft.DocumentDB/databaseAccounts/tables/*Microsoft.DocumentDB/databaseAccounts/tables/containers/entities/*
Relaterat innehåll
- metodtips för säkerhet