Поделиться через


Руководство по безопасности для Azure Cosmos DB для таблицы

Область применения: Гремлин

Схема текущего расположения (

Схема последовательности руководства по развертыванию, включая следующие расположения: обзор, основные понятия, подготовка, управление доступом на основе ролей, сеть и справочник. В настоящее время выделено расположение "Обзор".

При работе с Azure Cosmos DB для таблицы важно убедиться, что авторизованные пользователи и приложения имеют доступ к данным, предотвращая непреднамеренный или несанкционированный доступ.

Хотя использование ключей и учетных данных владельца ресурса может показаться удобным вариантом, это не рекомендуется из-за нескольких причин. Во-первых, эти методы не имеют надежности и гибкости, предоставляемой проверкой подлинности Microsoft Entra. Microsoft Entra предлагает расширенные функции безопасности, такие как многофакторная проверка подлинности и политики условного доступа, что значительно снижает риск несанкционированного доступа. Используя Microsoft Entra, вы можете значительно повысить уровень безопасности приложений и защитить конфиденциальные данные от потенциальных угроз.

Управление доступом

Управление доступом на основе ролей с помощью Microsoft Entra позволяет управлять доступом пользователей, устройств или рабочих нагрузок к данным и в какой степени они могут получить доступ к этим данным. Использование подробных разрешений в определении роли обеспечивает гибкость в применении субъекта безопасности "наименьших привилегий" при сохранении доступа к данным простым и оптимизированным для разработки.

Предоставление доступа в рабочей среде

В рабочих приложениях Microsoft Entra предлагает множество типов удостоверений, включая, но не только:

  • Удостоверения рабочей нагрузки для конкретных рабочих нагрузок приложений
  • Назначаемые системой управляемые удостоверения, собственные для службы Azure
  • Назначаемые пользователем управляемые удостоверения, которые можно гибко использовать между несколькими службами Azure
  • Субъекты-службы для пользовательских и более сложных сценариев
  • Удостоверения устройств для пограничных рабочих нагрузок

С помощью этих удостоверений вы можете предоставить определенные рабочие приложения или рабочие нагрузки точного доступа к запросам, чтению или манипулирования ресурсами в Azure Cosmos DB.

Предоставление доступа в разработке

В разработке Microsoft Entra предлагает тот же уровень гибкости для человеческих удостоверений разработчика. Вы можете использовать те же определения и методы управления доступом на основе ролей, чтобы предоставить разработчикам доступ к тестовой, промежуточной или учетной записи базы данных разработки.

Ваша группа безопасности имеет один набор средств для управления удостоверениями и разрешениями для учетных записей во всех средах.

Упрощение кода проверки подлинности

С помощью пакета SDK Azure методы, используемые для доступа к данным Azure Cosmos DB программно в различных сценариях:

  • Если приложение находится в разработке или рабочей среде
  • Если вы используете человеческую, рабочую нагрузку, управляемые или удостоверения устройств
  • Если ваша команда предпочитает использовать Azure CLI, Azure PowerShell, Azure Developer CLI, Visual Studio или Visual Studio Code
  • Если ваша команда использует Python, JavaScript, TypeScript, .NET, Go или Java

Пакет SDK Azure предоставляет библиотеку удостоверений, совместимую с многими платформами, языком разработки и методами проверки подлинности. После того как вы узнаете, как включить проверку подлинности Microsoft Entra, метод остается неизменным во всех сценариях. Для каждой среды не требуется создавать отдельные стеки проверки подлинности.

Следующий шаг