在 Azure Cosmos DB 中實作密鑰輪替
適用於:
NoSQL MongoDB Cassandra Gremlin 桌子
輪替金鑰是確保認證可能暴露的影響最小化的關鍵部分。 您應該至少每隔 60 天重新產生金鑰。
重要
Microsoft 建議您使用最安全的可用驗證流程。 這個程序描述的驗證流程需要在應用程式中具備極高的信任度,且伴隨著其他流程並未面臨的風險。 請僅在其他較安全的流程 (例如受控身分識別) 皆不具可行性的情況下,才使用這個流程。
對於 Azure Cosmos DB,Microsoft Entra 驗證是可用的最安全驗證機制。 檢閱 API 的適當安全性指南:
必要條件
輪替主要或次要金鑰
您可以使用 Azure 入口網站 或透過腳本輪替任一金鑰。
使用 Azure 入口網站 來輪替四個內建密鑰的其中一個(或重新產生):
登入 Azure 入口網站 (https://portal.azure.com)。
導覽至現有的 Azure Cosmos DB 帳戶。
在帳戶資源窗格中,從服務功能表的 [設定] 區段中選取 [金鑰]。
在 [讀寫金鑰] 或 [只讀] 區段中,選取 [主鍵] 或 [次要密鑰] 字段的重新整理選項。
使用此 Azure CLI 腳本來重新產生 Azure Cosmos DB 帳戶中的其中一個密鑰。
az cosmosdb keys regenerate \
--resource-group "<name-of-existing-resource-group>" \
--name "<name-of-existing-account>" \
--key-kind "primary"
--key-kind 自變數選項包括:
primaryprimaryReadonlysecondarysecondaryReadonly
如需詳細資訊,請參閱 az cosmosdb keys regenerate
使用此 Azure PowerShell 腳本來重新產生 Azure Cosmos DB 帳戶中的其中一個密鑰。
$parameters = @{
ResourceGroupName = "<name-of-existing-resource-group>"
Name = "<name-of-existing-account>"
KeyKind = "primary"
}
New-AzCosmosDBAccountKey @parameters
KeyKind 參數選項包括:
primaryprimaryReadonlysecondarysecondaryReadonly
如需詳細資訊,請參閱New-AzCosmosDBAccountKey。
相關內容