Azure Cosmos DB 使用基于角色的访问控制读取数据

2023-12-22

我在 Azure 中有一个 CosmosDB，我想授予用户读取各种集合内的数据的权限。

我尝试给他们“读者”角色，这让他们知道存在 CosmosDB，并且他们可以看到一些元数据。但他们无法访问其中的数据

我为他们分配了“Cosmos DB 帐户阅读器”，这取得了更好的结果。

但在我看来，“读者”角色应该取代“Cosmos DB 帐户读者”角色。或者我在这里走错了路？我相信“读者”角色授予*所有读取访问权限。

EDIT:
使用内置的“数据资源管理器”似乎没有问题门户网站azure.com.

真正的问题在于使用cosmos.azure.com，并使用 Active Directory 登录，并没有让用户看到任何具有“Cosmos DB 帐户读取者”角色的内容。可能需要用户具有写入权限。

为了从 Cosmos DB 帐户读取数据，用户应该具有允许获取访问密钥的角色。 AReader角色不具备此能力。然而Cosmos DB Account Reader角色有能力获取read-only access keys使用该角色的用户可以读取数据（但不能对该数据进行任何更改）。

由此link https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#cosmos-db-account-reader-role，这是定义Cosmos DB Account Reader role:

{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read Azure Cosmos DB Accounts data",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/fbdf93bf-df7d-467e-a4d2-9458aa1360c8",
  "name": "fbdf93bf-df7d-467e-a4d2-9458aa1360c8",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.DocumentDB/*/read",
        "Microsoft.DocumentDB/databaseAccounts/readonlykeys/action",
        "Microsoft.Insights/MetricDefinitions/read",
        "Microsoft.Insights/Metrics/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Cosmos DB Account Reader Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Microsoft.DocumentDB/databaseAccounts/readonlykeys/action操作可以获取只读访问密钥，从而读取数据。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Azure Cosmos DB 使用基于角色的访问控制读取数据的相关文章

Azure函数插入但不更新cosmosDB

我有一个 azure 函数从 Azure 服务总线队列接收消息并将文档发送到 cosmosDB 我正在使用 Azure 函数 1 x public static class Function1 FunctionName Function1
保留子网范围内的私有IP地址

我有一个 Arm 模板其中有一个带有 2 个子网的 vNet 我正在尝试使用静态专用 IP 地址将网卡部署到其中之一它曾经是动态的并且运行良好现在它是静态的我已经设置了我想要网卡拥有的IP 但是当我部署时它说IP无效我尝试更改
Azure 流量管理器可以与 API 管理一起使用吗？

当我将端点添加到流量管理器时只有网站和云服务可供选择我可以将 API 管理服务与流量管理器结合使用吗是的除了 Azure 网站和 Azure 云服务之外还可以将外部终结点添加到 Azure 流量管理器配置文件中您将需要使用 Az
如何在 access_token 中添加角色声明，目前它是在 id_token 中？

我正在使用 PKCE 跟踪身份验证代码流我的身份提供程序是 Azure Active Directory 我从应用程序注册创建了一个应用程序客户端应用程序在清单中我添加了如下所示的 appRoles appRoles allowed
通过 ARM 模板将现有混合连接链接到 azure Web 应用程序

我在天蓝色中有一个资源组其中包含一个包含混合连接的中继我正在尝试部署另一个包含 Web 应用程序的资源组该应用程序应链接其他资源组中的现有混合连接在天蓝色门户中执行此任务很简单但由于我想在 ARM 模板部署期间运行完整模式因此
我使用 Msal 从 AAD 获取了令牌，但无法使用获取的令牌获取用户配置文件。如何简单地在 Node 后端验证令牌？

我使用以下配置从 AAD 请求令牌 app module ts 文件 MsalModule forRoot clientID CLIENT ID authority https login microsoftonline com TENAN
费率计费计算

Azure 价目表 API 返回 MeterRates 字段请参阅文档 https msdn microsoft com en US library azure mt219004 aspx Azure 使用情况聚合给出了数量请参阅文档
如何使用javascript从word文档页面中删除表格设计？ Word js 插件

我正在从表格 html 的 word 文档最后一页插入表格设计我怎样才能删除它这是我的代码 async function NewMap try await Word run async context gt html to word h
尝试了解天蓝色云服务中的负载平衡

我正在维护一个天蓝色的云服务它有 1 个 Web 角色和几个辅助角色该网络角色有多个实例当我从资源中打开云服务时我可以看到服务端点和公共IP地址我想了解这个蔚蓝云服务中的流量负载是如何平衡的我搜索了负载均衡器但在订阅中找不到它
获取“命令中的查询必须针对单个分片”

我有一个使用 Mongo API 的 CosmosDB 设置我有一个集合在文档的一个字段上有一个散列分片当我运行类似命令时db collection remove or db collection deleteMany我收到以下错误
如何在本地启动Azure函数并附加调试器以通过launch.json和tasks.json动态处理？

在 Mac 上使用 NET Core 和 Visual Studio Code 我尝试在本地托管 Azure Function 并将调试器附加到它手动地我可以通过启动该函数来使其工作func host start 然后按 IDE 中的调
Azure Functions 计时器触发器线程安全

我想知道是否有人知道如果您在 Azure 函数上设置了 Cron 设置如果其任务执行时间超过 5 分钟则每 5 分钟运行一次会发生什么情况它备份吗或者我应该实现一个锁定功能以防止某些东西例如在循环中处理先前调用已经处理的数据
在azure中使用terraform为应用程序服务创建自动缩放规则时出错

resource azurerm monitor autoscale setting test name AutoscaleSetting resource group name azurerm resource group main na
WCF 服务中的“即发即忘”

我在 Azure 上有很多 WCF REST 服务在某些 WCF 服务中我向外部服务调用 Http 请求例如发送电子邮件短信对非关键第三方服务的 http 请求我不希望这阻碍我对客户电话的响应需要一些关于在这种情况下使用的模式
如何在 Azure 数据工厂 - Databricks 中使用 continuation_token 获取 ADF Pipeline 运行详细信息的下一页？

我在用 adf client pipeline runs query by factory resourceGroupName 工厂名称过滤器参数的方法azure mgmt datafactory DataFactoryManageme
Azure 管理 API 返回 500 内部服务器错误

我通过此请求从 Azure REST 管理 API 返回 500 内部服务器错误为什么 X509Certificate cert X509Certificate2 CreateFromCertFile cert path string u
如何将图像和 POST 数据上传到 Azure 移动服务 ApiController 终结点？

我正在尝试上传图片and POST表单数据尽管理想情况下我希望它是json 到我的端点Azure 移动服务应用我有ApiController method HttpPost Route api upload databaseId sea
增加在 Azure 上运行的 Dockerized ASP.NET Core 站点的最大上传大小限制？

以下是应用程序的架构使用 ASP NET Core 编写的 Web API Dockerfile 使用以下命令构建 Web 应用程序microsoft dotnet 2 1 sdk并使用执行 APImicrosoft dotnet asp
使用 CLI 在 Azure 中上传文件

我正在尝试练习以下任务创建存储帐户 az 存储帐户创建 name heyatafroz25 resource group user fottsascvuzj 获取存储帐户密钥 az 存储帐户密钥列表 g user fottsascvuzj
在天蓝色辅助角色中使用 QueueClient.OnMessage

我有一个 Azure 辅助角色负责检查 4 个服务总线队列目前我只是使用循环方法来手动检查队列 while true loop through my queues to check for messages Azure SDK 2 0

随机推荐

AFNetworking 2.0 多部分请求正文空白

如同这个问题 https stackoverflow com questions 20774692 afnetworking multipart request body is nil 使用 AFNetworking 2 0 3 并尝试使用
Visual Studio C# IntelliSense 不自动显示

就在最近当我打字时我的 Visual Studio 2010 停止自动显示 IntelliSense 建议我仍然可以按 ctrl space 来让它工作但它不会像以前那样自动显示建议列表我已经尝试禁用所有扩展重新启动 VS 和计
maven-shade-plugin - 在 org.apache.maven.plugins.shade.resource.ManifestResourceTransformer 类中找不到“资源”

我直接从 apache maven 文档复制了 Maven Shade 插件的配置https maven apache org plugins maven shade plugin examples resource transformer
我可以从注释或 Spring MVC 控制器配置 Jackson JSON 漂亮的打印吗？

我正在使用 Jackson 1 9 6 codehaus 在 Spring MVC 应用程序中对响应主体进行 JSON 序列化但我在寻找配置漂亮打印的方法时遇到了困难我找到的所有代码示例例如this https stackoverfl
无需 jQuery ui 即可拖动

如何在不使用 jQuery UI 的情况下使元素可拖动我有这个代码
“忘记”一条死胡同

我有一个 Mercurial 存储库它是在版本 A 上我做了一些更改提交到版本 B 并推动然而后来我意识到我不想做出这些改变我更新回版本 A 并对版本 C 进行了一些替代更改 C B A 然而现在我无法推送 rev C 因为
Firebird 在大型项目中的使用[关闭]

Closed 这个问题是基于意见的 help closed questions 目前不接受答案 firebird 有哪些能力可以在重点项目中使用它 PostgreSQL 和 FireBirdSQL 哪个更好有人知道使用 Firebird
最佳实践 MVVM 将数据从一个 Activity 传递到另一个 Activity

当前将数据从一个活动主传递到另一个详细的最佳实践是什么一种可能的方法是拥有一个在主视图和细节视图之间共享的单一视图模型类单击主活动中的某个项目时所选条目将设置为视图模型详细活动因此可以读取所选条目因为它使用相同的视图模型
ESLint - 需要 let 或 const 而不是 var (no-var)

如何在 ESlint 上禁用不鼓励使用 var 并鼓励使用 const 或 let 的规则 In your package json 假设这就是您正在使用的包括 eslintConfig rules no var 0 no var htt
D语言：初始化动态多维数组最佳实践？

只是好奇这是否是初始化动态多维数组的最佳实践D http www d programming language org index html 他们的语言参考中有一个关于数组的部分但我不太确定它是否超出了我想要完成的目标 class Map
当用户单击图表时创建 MarkerView

我已经搜索并搜索了当用户使用 Swift 的图表是 iOS 图表单击条形图中的条形时如何显示 MarkerView 文档指出该库能够使用 MarkerViews 突出显示值使用可自定义的弹出视图但我不知道如何显示我希望当用户单击条
Watin - 如何使用弹出页面测试网站

我正在使用 WatiN Net 中的 Web 应用程序测试在 Dynamics CRM 4 0 网站上进行集成测试 CRM 使用大量弹出窗口例如单击列表中的联系人会打开一个新的浏览器窗口其中包含该联系人的详细信息我想测试登录 C
将多个文件加载并命名到 R 中

我有超过 1000 个数据集我想加载到 R 中并在加载时单独命名每个数据集我发现要加载它们我可以使用以下命令 temp list files pattern csv for i in 1 length temp assign tem
从 OpenCV Canny 边缘检测器获取角度

我想使用 OpenCV 的 Canny 边缘检测器如中概述的这个问题 https stackoverflow com questions 11987483 opencvs canny edge detection in c 例如 cv C
无法将类型“System.Collections.Generic.List<>”隐式转换为“System.Threading.Tasks.Task<>>”

我遇到了例外无法隐式转换类型 System Collections Generic List
如何将日期选择器日期更改为 NSDate 类型但秒数为零

我有一个日期选择器它返回一个 NSdate 值我想要将秒数的日期值设置为 0 我有在 Objective c 中执行此操作的代码如下所示 NSTimeInterval time floor date timeIntervalSince
VBA Excel - ACCESS 中的更新记录

我遇到问题了我想使用 EXCEL 中的 VBA 更新 Access 数据库表中的现有记录 My code sqlik UPDATE query which works in access Set ZAP QUERY2 baza Creat
将文本插入现有/外部 Draftjs 文本字段

我正在开发一个需要将文本插入到contenteditable true div a Draftjs准确地说基于文本字段现在我知道 Draft js 使用 React 并且应该以这种方式使用但在这种情况下该应用程序已经存在并且这是与
Angular 2 中的多个模块

我有一个 Angular 2 应用程序 RC7 它最初是作为单个组件但很快就以各种不同有时完全不相关的方式在整个项目中使用其结果是单个NgModule引导所有组件似乎是一个糟糕的主意并且有大量的膨胀我正在努力寻找一种拥有多个模
Azure Cosmos DB 使用基于角色的访问控制读取数据

我在 Azure 中有一个 CosmosDB 我想授予用户读取各种集合内的数据的权限我尝试给他们读者角色这让他们知道存在 CosmosDB 并且他们可以看到一些元数据但他们无法访问其中的数据我为他们分配了 Cosmos DB 帐

Azure Cosmos DB 使用基于角色的访问控制读取数据

Azure Cosmos DB 使用基于角色的访问控制读取数据 的相关文章

随机推荐

热门标签

Azure Cosmos DB 使用基于角色的访问控制读取数据的相关文章