Obter chaves primárias, secundárias, de leitura ou leitura-gravação no Azure Cosmos DB

APLICA-SE A: NoSQL MongoDB Cassandra Gremlin Tabela

As chaves primárias/secundárias fornecem acesso a todos os recursos administrativos da conta do banco de dados. Chaves primárias/secundárias:

• Forneça acesso a contas, bancos de dados, usuários e permissões.
• Não pode ser usado para fornecer acesso granular a contêineres e documentos.
• São criados durante a criação de uma conta.
• Pode ser regenerado a qualquer momento.

Importante

A Microsoft recomenda que você use o fluxo de autenticação mais seguro disponível. O fluxo de autenticação descrito neste procedimento requer um grau muito alto de confiança no aplicativo e acarreta riscos que não estão presentes em outros fluxos. Você só deve usar esse fluxo quando outros fluxos mais seguros, como identidades gerenciadas, não forem viáveis.

Para o Azure Cosmos DB, a autenticação do Microsoft Entra é o mecanismo de autenticação mais seguro disponível. Consulte o guia de segurança apropriado para sua API:

• Azure Cosmos DB para NoSQL

Cada conta consiste em duas chaves: uma chave primária e uma chave secundária. O objetivo das chaves duplas é para que você possa regenerar, ou rolar, chaves, fornecendo acesso contínuo à sua conta e dados.

As chaves primárias/secundárias vêm em duas versões: leitura-gravação e somente leitura. As chaves somente leitura só permitem operações de leitura na conta. Eles não fornecem acesso a recursos de permissões de leitura.

Pré-requisitos

• Uma conta existente do Azure Cosmos DB

Obtenha a sua chave primária

A chave primária geralmente pode ser localizada usando o portal do Azure ou por meio da automação.

Portal do Azure

Use o portal do Azure para obter uma das quatro chaves internas:

• Leitura-gravação primária
• Somente leitura primária
• Leitura-gravação secundária
• Somente leitura secundária

1. Entre no portal do Azure (https://portal.azure.com).

2. Navegue até sua conta existente do Azure Cosmos DB.

3. No painel de recursos da conta, selecione Chaves na seção Configurações do menu de serviço.

4. Localize e registre o valor dos campos Chave primária ou Chave secundária na seção Chaves de leitura-gravação ou Somente leitura .

   Gorjeta

   Pode ser necessário mostrar as chaves antes de gravar seus valores. Por padrão, as chaves estão ocultas.

CLI do Azure

Use este script da CLI do Azure para obter chaves ou cadeias de conexão de sua conta do Azure Cosmos DB.

az cosmosdb keys list \
    --resource-group "<name-of-existing-resource-group>" \
    --name "<name-of-existing-account>" \
    --type "keys"

Aviso

A CLI do Azure renderizará um aviso de que a divulgação de seus segredos pode comprometer a segurança da sua conta.

--type As opções de argumento incluem:

• connection-strings
• keys
• read-only-keys

Para obter mais informações, veja az cosmosdb keys list.

Azure PowerShell

Use este script do Azure PowerShell para obter chaves ou cadeias de conexão de sua conta do Azure Cosmos DB.

$parameters = @{
    ResourceGroupName = "<name-of-existing-resource-group>"
    Name = "<name-of-existing-account>"
    Type = "Keys"
}
Get-AzCosmosDBAccountKey @parameters

Type As opções de parâmetros incluem:

• ConnectionStrings
• Keys
• ReadOnlyKeys

Para obter mais informações, veja Get-AzCosmosDBAccountKey.

Bicep

Este exemplo de modelo Bicep gera todas as credenciais para uma conta existente do Azure Cosmos DB.

metadata description = 'Gets all keys and connection strings for an Azure Cosmos DB account.'

@description('The name of the Azure Cosmos DB account.')
param accountName string

resource account 'Microsoft.DocumentDB/databaseAccounts@2024-05-15' existing = {
  name: accountName
}

output endpoint string = account.properties.documentEndpoint

var keys = account.listKeys()

output keys object = {
  primary: {
    readWrite: keys.primaryMasterKey
    readOnly: keys.primaryReadonlyMasterKey
  }
  secondary: {
    readWrite: keys.secondaryMasterKey
    readOnly: keys.secondaryReadonlyMasterKey
  }
}

var connectionStrings = account.listConnectionStrings()

output connectionStrings object = {
  primary: {
    readWrite: connectionStrings.connectionStrings[0].connectionString
    readOnly: connectionStrings.connectionStrings[1].connectionString
  }
  secondary: {
    readWrite: connectionStrings.connectionStrings[2].connectionString
    readOnly: connectionStrings.connectionStrings[3].connectionString
  }
}

Aviso

Este modelo de Bicep acionará um aviso de linter para Bicep. Idealmente, os modelos Bicep de produção não devem produzir segredos. Esta amostra intencionalmente não suprime este aviso de linter. Para obter mais informações, consulte regra linter - as saídas não devem conter segredos.

Conteúdos relacionados

• Implementar rotação de chaves