Pokyny k zabezpečení pro Azure Cosmos DB for NoSQL
PLATÍ PRO: NoSQL
Diagram posloupnosti průvodce nasazením, včetně těchto umístění, v uvedeném pořadí: Přehled, Koncepty, Příprava, Řízení přístupu na základě role, Síť a Reference Umístění Přehled je aktuálně zvýrazněné.
Při práci se službou Azure Cosmos DB for NoSQL je důležité zajistit, aby autorizovaní uživatelé a aplikace měli přístup k datům a zároveň zabránili neúmyslnému nebo neoprávněnému přístupu.
Při používání klíčů a přihlašovacích údajů vlastníka prostředku se může zdát jako vhodná možnost, proto se nedoporučuje z několika důvodů. Za prvé, tyto metody nemají odolnost a flexibilitu poskytované ověřováním Microsoft Entra. Microsoft Entra nabízí vylepšené funkce zabezpečení, jako je vícefaktorové ověřování a zásady podmíněného přístupu, což výrazně snižuje riziko neoprávněného přístupu. Pomocí microsoft Entra můžete výrazně vylepšit stav zabezpečení aplikací a chránit citlivá data před potenciálními hrozbami.
Správa přístupu
Řízení přístupu na základě role pomocí Microsoft Entra vám umožňuje spravovat, kteří uživatelé, zařízení nebo úlohy mají přístup k vašim datům a v jakém rozsahu mají k nim přístup. Použití jemně odstupňovaných oprávnění v definici role vám dává flexibilitu vynucovat objekt zabezpečení s nejnižšími oprávněními a zároveň udržovat přístup k datům jednoduchý a zjednodušený pro vývoj.
Udělení přístupu v produkčním prostředí
V produkčních aplikacích Microsoft Entra nabízí mnoho typů identit, mimo jiné:
- Identity úloh pro konkrétní aplikační úlohy
- Spravované identity přiřazené systémem nativní pro službu Azure
- Spravované identity přiřazené uživatelem, které je možné flexibilně používat mezi několika službami Azure
- Instanční objekty pro vlastní a složitější scénáře
- Identity zařízení pro hraniční úlohy
Pomocí těchto identit můžete konkrétním produkčním aplikacím nebo úlohám udělit jemně odstupňovaný přístup k dotazování, čtení nebo manipulaci s prostředky ve službě Azure Cosmos DB.
Udělení přístupu při vývoji
Ve vývoji nabízí Microsoft Entra stejnou úroveň flexibility pro lidské identity vašeho vývojáře. Pomocí stejných definic řízení přístupu na základě role a technik přiřazení můžete vývojářům udělit přístup k testovacím, přípravným nebo vývojovým databázovým účtům.
Váš bezpečnostní tým má jednu sadu nástrojů pro správu identit a oprávnění pro vaše účty ve všech vašich prostředích.
Zjednodušení ověřovacího kódu
Pomocí sady Azure SDK se techniky používané k přístupu k datům Azure Cosmos DB programově používají v mnoha různých scénářích:
- Pokud je vaše aplikace ve vývoji nebo produkčním prostředí
- Pokud používáte lidské identity, úlohy, spravované identity nebo identity zařízení
- Pokud váš tým preferuje použití Azure CLI, Azure PowerShellu, Azure Developer CLI, sady Visual Studio nebo editoru Visual Studio Code
- Pokud váš tým používá Python, JavaScript, TypeScript, .NET, Go nebo Java
Sada Azure SDK poskytuje knihovnu identit, která je kompatibilní s mnoha platformami, vývojovým jazykem a technikami ověřování. Jakmile se dozvíte, jak povolit ověřování Microsoft Entra, bude technika ve všech vašich scénářích stejná. Pro každé prostředí není potřeba vytvářet samostatné zásobníky ověřování.