在 Azure Cosmos DB 中实现密钥轮换
适用对象:
NoSQL MongoDB Cassandra Gremlin 表
轮换密钥是确保将任何潜在凭据公开的影响降到最低的关键部分。 至少每 60 天重新生成密钥。
重要
Microsoft 建议使用最安全的可用身份验证流。 本过程中介绍的身份验证流程需要非常高的信任度,并携带其他流中不存在的风险。 请仅在无法使用其他更安全的流(例如托管标识)时才使用此流。
对于 Azure Cosmos DB,Microsoft Entra 身份验证是可用的最安全的身份验证机制。 查看 API 的相应安全指南:
先决条件
轮换主密钥或辅助密钥
可以使用Azure 门户或通过脚本轮换任一密钥。
使用Azure 门户轮换(或重新生成)四个内置密钥之一:
登录到 Azure 门户 (https://portal.azure.com)。
导航到现有的 Azure Cosmos DB 帐户。
在帐户资源窗格中,从服务菜单的“设置”部分选择“密钥”。
在“读写密钥”或“只读”部分中,为主密钥或辅助密钥字段选择刷新选项。
使用此 Azure CLI 脚本重新生成 Azure Cosmos DB 帐户中的其中一个密钥。
az cosmosdb keys regenerate \
--resource-group "<name-of-existing-resource-group>" \
--name "<name-of-existing-account>" \
--key-kind "primary"
--key-kind 参数选项包括:
primaryprimaryReadonlysecondarysecondaryReadonly
有关详细信息,请参阅 az cosmosdb keys regenerate
使用此 Azure PowerShell 脚本重新生成 Azure Cosmos DB 帐户中的其中一个密钥。
$parameters = @{
ResourceGroupName = "<name-of-existing-resource-group>"
Name = "<name-of-existing-account>"
KeyKind = "primary"
}
New-AzCosmosDBAccountKey @parameters
KeyKind 参数选项包括:
primaryprimaryReadonlysecondarysecondaryReadonly
有关详细信息,请参阅 New-AzCosmosDBAccountKey。
相关内容