共用方式為


適用於數據表的 Azure Cosmos DB 安全性指導方針

部署指南順序中目前位置 (『Overview』) 的圖表。

部署指南順序的圖表,包括這些位置,順序如下:概觀、概念、準備、角色型訪問控制、網路和參考。 [概觀] 位置目前已醒目提示。

使用適用於數據表的 Azure Cosmos DB 時,請務必確保授權的使用者和應用程式可以存取數據,同時防止意外或未經授權的存取。

雖然使用密鑰和資源擁有者密碼認證似乎是一個方便的選項,但基於數個原因,不建議使用。 首先,這些方法缺乏Microsoft Entra 驗證所提供的強固性和彈性。 Microsoft Entra 提供增強的安全性功能,例如多重要素驗證和條件式存取原則,可大幅降低未經授權的存取風險。 藉由使用 Microsoft Entra,您可以大幅增強應用程式的安全性狀態,並保護敏感數據免於潛在威脅。

管理存取

使用 Microsoft Entra 的角色型存取控制可讓您管理哪些使用者、裝置或工作負載可以存取您的資料,以及他們可以存取該資料的程度。 在角色定義中使用細部許可權可讓您彈性地強制執行「最低許可權」的安全性主體,同時讓數據存取保持簡單且簡化進行開發。

在生產環境中授與存取權

在生產應用程式中,Microsoft Entra 提供許多身分識別類型,包括但不限於:

  • 特定應用程式工作負載的工作負載識別
  • 原生至 Azure 服務的系統指派受控識別
  • 使用者指派的受控識別,可在多個 Azure 服務之間靈活重複使用
  • 自定義和更複雜的案例服務主體
  • 邊緣工作負載的裝置身分識別

透過這些身分識別,您可以授與特定生產應用程式或工作負載更精細的查詢、讀取或操作 Azure Cosmos DB 中的資源存取權。

授與開發中的存取權

在開發中,Microsoft Entra 為開發人員的人類身分識別提供相同的彈性層級。 您可以使用相同的角色型訪問控制定義和指派技術,將測試、預備或開發資料庫帳戶的存取權授與開發人員。

您的安全性小組有單一工具套件,可管理您所有環境的帳戶身分識別和許可權。

簡化驗證程序代碼

使用 Azure SDK 時,用來跨許多不同案例以程式設計方式存取 Azure Cosmos DB 數據的技術:

  • 如果您的應用程式在開發或生產環境中
  • 如果您使用人力、工作負載、受控或裝置身分識別
  • 如果您的小組偏好使用 Azure CLI、Azure PowerShell、Azure 開發人員 CLI、Visual Studio 或 Visual Studio Code
  • 如果您的小組使用 Python、JavaScript、TypeScript、.NET、Go 或 Java

Azure SDK 提供與許多平臺、開發語言和驗證技術相容的身分識別連結庫。 一旦您瞭解如何啟用Microsoft Entra 驗證,技術在所有案例中都會維持不變。 不需要為每個環境建置不同的驗證堆疊。

後續步驟