Получение первичных, вторичных, чтение или чтение ключей записи в Azure Cosmos DB

Область применения: Nosql Mongodb Кассандра Гремлин Таблица

Первичные/вторичные ключи предоставляют доступ ко всем административным ресурсам для учетной записи базы данных. Первичный/вторичный ключи:

• предоставляют доступ к учетным записям, базам данных, пользователям и разрешениям;
• Невозможно использовать для предоставления детального доступа к контейнерам и документам.
• создаются в процессе создания учетной записи;
• можно создать повторно в любое время.

Внимание

Корпорация Майкрософт рекомендует использовать самый безопасный поток проверки подлинности. Поток проверки подлинности, описанный в этой процедуре, требует очень высокого уровня доверия к приложению и несет риски, которые отсутствуют в других потоках. Этот поток следует использовать только в том случае, если другие более безопасные потоки, такие как управляемые удостоверения, не являются жизнеспособными.

Для Azure Cosmos DB проверка подлинности Microsoft Entra является самым безопасным механизмом проверки подлинности. Ознакомьтесь с соответствующим руководством по безопасности для API:

• Azure Cosmos DB for NoSQL

Каждая учетная запись состоит из двух ключей: первичного и вторичного ключа. Цель двойных ключей заключается в том, чтобы можно было повторно создать или свернуть ключи, предоставляя непрерывный доступ к учетной записи и данным.

Первичный/вторичный ключи могут быть двух версий: для чтения и записи и только для чтения. Ключи только для чтения разрешают операции чтения в учетной записи. Они не предоставляют доступ к ресурсам разрешений на чтение.

Необходимые компоненты

• Существующая учетная запись Azure Cosmos DB

Получение первичного ключа

Первичный ключ обычно можно найти с помощью портал Azure или с помощью автоматизации.

Портал Azure

Используйте портал Azure для получения одного из четырех встроенных ключей:

• Первичная запись для чтения и записи
• Основной доступ только для чтения
• Дополнительное чтение и запись
• Вторичный доступ только для чтения

1. Войдите на портал Azure (https://portal.azure.com).

2. Перейдите к существующей учетной записи Azure Cosmos DB.

3. В области ресурсов учетной записи выберите "Ключи" в разделе "Параметры" меню службы.

4. Найдите и запишите значение полей первичного ключа или дополнительного ключа в разделе "Ключи только для чтения" или "Только для чтения".

   Совет

   Перед записью их значений может потребоваться отобразить ключи. По умолчанию ключи скрыты.

Azure CLI

Используйте этот скрипт Azure CLI для получения ключей или строка подключения из учетной записи Azure Cosmos DB.

az cosmosdb keys list \
    --resource-group "<name-of-existing-resource-group>" \
    --name "<name-of-existing-account>" \
    --type "keys"

Предупреждение

Azure CLI отобразит предупреждение о том, что вывод секретов может скомпрометировать безопасность вашей учетной записи.

--type Параметры аргумента включают:

• connection-strings
• keys
• read-only-keys

Дополнительные сведения см. в разделе az cosmosdb keys list.

Azure PowerShell

Используйте этот скрипт Azure PowerShell для получения ключей или строка подключения из учетной записи Azure Cosmos DB.

$parameters = @{
    ResourceGroupName = "<name-of-existing-resource-group>"
    Name = "<name-of-existing-account>"
    Type = "Keys"
}
Get-AzCosmosDBAccountKey @parameters

Type Параметры параметра включают:

• ConnectionStrings
• Keys
• ReadOnlyKeys

Дополнительные сведения см. в разделе Get-AzCosmosDBAccountKey.

Bicep

В этом примере шаблон Bicep выводит все учетные данные для существующей учетной записи Azure Cosmos DB.

metadata description = 'Gets all keys and connection strings for an Azure Cosmos DB account.'

@description('The name of the Azure Cosmos DB account.')
param accountName string

resource account 'Microsoft.DocumentDB/databaseAccounts@2024-05-15' existing = {
  name: accountName
}

output endpoint string = account.properties.documentEndpoint

var keys = account.listKeys()

output keys object = {
  primary: {
    readWrite: keys.primaryMasterKey
    readOnly: keys.primaryReadonlyMasterKey
  }
  secondary: {
    readWrite: keys.secondaryMasterKey
    readOnly: keys.secondaryReadonlyMasterKey
  }
}

var connectionStrings = account.listConnectionStrings()

output connectionStrings object = {
  primary: {
    readWrite: connectionStrings.connectionStrings[0].connectionString
    readOnly: connectionStrings.connectionStrings[1].connectionString
  }
  secondary: {
    readWrite: connectionStrings.connectionStrings[2].connectionString
    readOnly: connectionStrings.connectionStrings[3].connectionString
  }
}

Предупреждение

Этот шаблон Bicep активирует предупреждение linter для Bicep. В идеале шаблоны Bicep не должны выводить секреты. Этот пример намеренно не подавляет это предупреждение linter. Дополнительные сведения см . в правиле linter. Выходные данные не должны содержать секреты.

Связанный контент

• Реализация смены ключей