Obtención de claves principales, secundarias, de lectura o de lectura y escritura en Azure Cosmos DB

SE APLICA A: NoSQL MongoDB Cassandra Gremlin Table

Las claves principal o secundaria proporcionan acceso a todos los recursos administrativos de la cuenta de base de datos. Claves principal o secundaria:

• Proporcionan acceso a cuentas, bases de datos, usuarios y permisos.
• No se pueden usar para proporcionar acceso pormenorizado a contenedores y documentos.
• Se crean durante la creación de una cuenta.
• Se pueden regenerar en cualquier momento.

Importante

Microsoft recomienda usar el flujo de autenticación más seguro disponible. El flujo de autenticación que se describe en este procedimiento requiere un alto grado de confianza en la aplicación y conlleva riesgos que no están presentes en otros flujos. Solo debe usar este flujo cuando otros flujos más seguros, como las identidades administradas, no sean viables.

Para Azure Cosmos DB, la autenticación de Microsoft Entra es el mecanismo de autenticación más seguro disponible. Revise la guía de seguridad adecuada para la API:

• Azure Cosmos DB para NoSQL

Cada cuenta consta de dos claves: una principal y una secundaria. El fin de las claves dobles es que pueda regenerar, o distribuir claves, lo que proporciona un acceso continuo a su cuenta y sus datos.

Las claves principal y secundaria se incluyen en dos versiones: de lectura y escritura y de solo lectura. Las claves de solo lectura permiten operaciones de lectura en la cuenta. No proporcionan acceso a los recursos de permisos de lectura.

Requisitos previos

• Una cuenta de Azure Cosmos DB existente

Obtención de la clave principal

Normalmente, la clave principal se puede ubicar mediante Azure Portal o mediante la automatización.

Azure Portal

Use Azure Portal para obtener cualquiera de las cuatro claves integradas:

• Lectura y escritura principal
• Solo lectura principal
• Lectura y escritura secundaria
• Solo lectura secundaria

1. Inicie sesión en Azure Portal (https://portal.azure.com).

2. Vaya a la cuenta de Azure Cosmos DB existente.

3. En el panel de recursos de la cuenta, seleccione Claves en la sección Configuración del menú de servicio.

4. Busque y registre el valor de los campos Clave principal o Clave secundaria en la sección Claves de lectura y escritura o Solo lectura.

   Sugerencia

   Es posible que tenga que mostrar las claves antes de registrar sus valores. De forma predeterminada, las claves están ocultas.

CLI de Azure

Use este script de la CLI de Azure para obtener claves o cadena de conexión de la cuenta de Azure Cosmos DB.

az cosmosdb keys list \
    --resource-group "<name-of-existing-resource-group>" \
    --name "<name-of-existing-account>" \
    --type "keys"

Advertencia

La CLI de Azure representará una advertencia de que la salida de los secretos podría poner en peligro la seguridad de su cuenta.

--type entre las opciones de argumento se incluyen:

• connection-strings
• keys
• read-only-keys

Para obtener más información, vea az cosmosdb keys list.

Azure PowerShell

Use este script de Azure PowerShell para obtener claves o cadena de conexión de la cuenta de Azure Cosmos DB.

$parameters = @{
    ResourceGroupName = "<name-of-existing-resource-group>"
    Name = "<name-of-existing-account>"
    Type = "Keys"
}
Get-AzCosmosDBAccountKey @parameters

Type Entre las opciones de parámetro se incluyen:

• ConnectionStrings
• Keys
• ReadOnlyKeys

Para obtener más información, vea Get-AzCosmosDBAccountKey.

Bicep

En este ejemplo, la plantilla de Bicep genera todas las credenciales de una cuenta de Azure Cosmos DB existente.

metadata description = 'Gets all keys and connection strings for an Azure Cosmos DB account.'

@description('The name of the Azure Cosmos DB account.')
param accountName string

resource account 'Microsoft.DocumentDB/databaseAccounts@2024-05-15' existing = {
  name: accountName
}

output endpoint string = account.properties.documentEndpoint

var keys = account.listKeys()

output keys object = {
  primary: {
    readWrite: keys.primaryMasterKey
    readOnly: keys.primaryReadonlyMasterKey
  }
  secondary: {
    readWrite: keys.secondaryMasterKey
    readOnly: keys.secondaryReadonlyMasterKey
  }
}

var connectionStrings = account.listConnectionStrings()

output connectionStrings object = {
  primary: {
    readWrite: connectionStrings.connectionStrings[0].connectionString
    readOnly: connectionStrings.connectionStrings[1].connectionString
  }
  secondary: {
    readWrite: connectionStrings.connectionStrings[2].connectionString
    readOnly: connectionStrings.connectionStrings[3].connectionString
  }
}

Advertencia

Esta plantilla de Bicep desencadenará una advertencia de linter para Bicep. Lo ideal es que las plantillas de Bicep de producción no produzcan secretos. Este ejemplo no suprime intencionadamente esta advertencia de linter. Para obtener más información, consulte linter rule : las salidas no deben contener secretos.

Contenido relacionado

• Implementación de la rotación de claves