استخدام التحكم في الوصول استنادا إلى دور مستوى البيانات مع Azure Cosmos DB ل NoSQL

ينطبق على: NoSQL

رسم تخطيطي لتسلسل دليل النشر بما في ذلك هذه المواقع، بالترتيب: نظرة عامة ومفاهيم وإعداد والتحكم في الوصول المستند إلى الدور والشبكة والمرجع. تم تمييز موقع "التحكم في الوصول استنادا إلى الدور" حاليا.

تلميح

تفضل بزيارة معرض العينات الجديد للحصول على أحدث العينات لإنشاء تطبيقات جديدة

تتناول هذه المقالة خطوات منح هوية الوصول لإدارة البيانات في Azure Cosmos DB لحساب NoSQL.

هام

تغطي الخطوات الواردة في هذه المقالة فقط الوصول إلى مستوى البيانات لتنفيذ العمليات على العناصر الفردية وتشغيل الاستعلامات. لمعرفة كيفية إدارة الأدوار والتعريفات والتعيينات لمستوى التحكم، راجع منح الوصول المستند إلى دور وحدة التحكم.

المتطلبات الأساسية

• حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.
• حساب Azure Cosmos DB ل NoSQL موجود.
• هوية واحدة أو أكثر موجودة في معرف Microsoft Entra.

• استخدم بيئة Bash في Azure Cloud Shell. لمزيد من المعلومات، راجع التشغيل السريع ل Bash في Azure Cloud Shell.

  

• إذا كنت تفضل تشغيل أوامر مرجع CLI محلياً قم بتثبيت CLI Azure. إذا كنت تعمل على نظام تشغيل Windows أو macOS، ففكر في تشغيل Azure CLI في حاوية Docker. لمزيد من المعلومات، راجع كيفية تشغيل Azure CLI في حاوية Docker.

  • إذا كنت تستخدم تثبيت محلي، يُرجى تسجيل الدخول إلى Azure CLI مستخدمًا أمر az login. لإنهاء عملية المصادقة، اتبع الخطوات المعروضة في جهازك. للحصول على خيارات أخرى لتسجيل دخول، راجع تسجيل الدخول باستخدام Azure CLI.

  • عندما يُطلب منك، قم بتثبيت ملحق Azure CLI عند الاستخدام لأول مرة. لمزيد من المعلومات بشأن الامتدادات، راجع استخدام امتدادات مع Azure CLI.

  • يُرجى تشغيل إصدار az للوصول إلى الإصدار والمكتبات التابعة التي تم تثبيتها. للتحديث لآخر إصدار، يُرجى تشغيل تحديث az.

• إذا اخترت استخدام Azure PowerShell محليا:
  • تثبيت أحدث إصدار من الوحدة النمطية Az PowerShell.
  • اتصل بحساب Azure الخاص بك باستخدامConnect-AzAccount cmdlet.
• إذا اخترت استخدام Azure Cloud Shell:
  • لمزيد من المعلومات، راجع نظرة عامة على Azure Cloud Shell.

إعداد تعريف الدور

أولا، يجب إعداد تعريف دور مع قائمة dataActions لمنح حق الوصول لقراءة البيانات والاستعلام عنها وإدارتها في Azure Cosmos DB ل NoSQL.

تعريف مضمن

هام

يتطلب الحصول على تعريف دور مستوى بيانات موجود أذونات وحدة التحكم هذه:

• Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/read

لمزيد من المعلومات، راجع منح الوصول المستند إلى الدور لمستوى التحكم.

سرد جميع تعريفات الدور المقترنة بحساب Azure Cosmos DB الخاص بك ل NoSQL باستخدام az cosmosdb sql role definition list. راجع الإخراج وحدد موقع تعريف الدور المسمى Cosmos DB Built-in Data Contributor. يحتوي الإخراج على المعرف الفريد لتعريف الدور في الخاصية id . سجل هذه القيمة كما هو مطلوب لاستخدامها في خطوة التعيين لاحقا في هذا الدليل.

az cosmosdb sql role definition list \
    --resource-group "<name-of-existing-resource-group>" \
    --account-name "<name-of-existing-nosql-account>"

[
  ...,
  {
    "assignableScopes": [
      "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql"
    ],
    "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/00000000-0000-0000-0000-000000000002",
    "name": "00000000-0000-0000-0000-000000000002",
    "permissions": [
      {
        "dataActions": [
          "Microsoft.DocumentDB/databaseAccounts/readMetadata",
          "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*",
          "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*"
        ],
        "notDataActions": []
      }
    ],
    "resourceGroup": "msdocs-identity-example",
    "roleName": "Cosmos DB Built-in Data Contributor",
    "type": "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions",
    "typePropertiesType": "BuiltInRole"
  }
  ...
]

إشعار

في هذا المثال، id ستكون /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/00000000-0000-0000-0000-000000000002القيمة . يستخدم هذا المثال بيانات وهمية وسيكون المعرف الخاص بك مميزا عن هذا المثال.

استخدم Get-AzCosmosDBSqlRoleDefinition لسرد جميع تعريفات الأدوار المقترنة بحساب Azure Cosmos DB ل NoSQL. راجع الإخراج وحدد موقع تعريف الدور المسمى Cosmos DB Built-in Data Contributor. يحتوي الإخراج على المعرف الفريد لتعريف الدور في الخاصية Id . سجل هذه القيمة كما هو مطلوب لاستخدامها في خطوة التعيين لاحقا في هذا الدليل.

$parameters = @{
    ResourceGroupName = "<name-of-existing-resource-group>"
    AccountName = "<name-of-existing-nosql-account>"
}
Get-AzCosmosDBSqlRoleDefinition @parameters

Id                         : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/00000000-0000-0000-0000-000000000002
RoleName                   : Cosmos DB Built-in Data Contributor
Type                       : BuiltInRole
AssignableScopes           : {/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccountsmsdocs-identity-example-nosql}
Permissions.DataActions    : {Microsoft.DocumentDB/databaseAccounts/readMetadata, Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*, Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*}
Permissions.NotDataActions : 

إشعار

في هذا المثال، Id ستكون /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/00000000-0000-0000-0000-000000000002القيمة . يستخدم هذا المثال بيانات وهمية وسيكون المعرف الخاص بك مميزا عن هذا المثال. ومع ذلك، فإن المعرف (00000000-0000-0000-0000-000000000002) فريد عبر جميع تعريفات الأدوار في حسابك.

تعريف مخصص

هام

يتطلب إنشاء تعريف دور مستوى بيانات جديد أذونات وحدة التحكم هذه:

• Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/read
• Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/write

لمزيد من المعلومات، راجع منح الوصول المستند إلى الدور لمستوى التحكم.

تحذير

لا يدعم Azure Cosmos DB لعنصر التحكم الأصلي في الوصول المستند إلى الدور في NoSQL الخاصية notDataActions . يتم استبعاد أي إجراء غير محدد كإجراء مسموح dataAction به تلقائيا.

1. إنشاء ملف JSON جديد يسمى role-definition.json. في هذا الملف، قم بإنشاء تعريف مورد يحدد إجراءات البيانات المدرجة هنا:

   	‏‏الوصف
   Microsoft.DocumentDB/databaseAccounts/readMetadata	يمكن قراءة بيانات التعريف على مستوى الحساب
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*	يمكنه تنفيذ أي عمليات بيانات على مستوى الحاوية
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*	يمكنه تنفيذ أي عملية على العناصر التي تحتوي على حاويات

   {
     "RoleName": "Azure Cosmos DB for NoSQL Data Plane Owner",
     "Type": "CustomRole",
     "AssignableScopes": [
       "/"
     ],
     "Permissions": [
       {
         "DataActions": [
           "Microsoft.DocumentDB/databaseAccounts/readMetadata",
           "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*",
           "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*"
         ]
       }
     ]
   }
   

2. بعد ذلك، استخدم az cosmosdb sql role definition create لإنشاء تعريف الدور. استخدم role-definition.json كمدخل للوسيطة--body.

   az cosmosdb sql role definition create \
       --resource-group "<name-of-existing-resource-group>" \
       --account-name "<name-of-existing-nosql-account>" \
       --body "@role-definition.json"
   

3. الآن، قم بإدراج جميع تعريفات الدور المقترنة بحساب Azure Cosmos DB الخاص بك ل NoSQL باستخدام az cosmosdb sql role definition list.

   az cosmosdb sql role definition list \
       --resource-group "<name-of-existing-resource-group>" \
       --account-name "<name-of-existing-nosql-account>"
   

4. راجع الإخراج من الأمر السابق. حدد موقع تعريف الدور الذي أنشأته للتو باسم Azure Cosmos DB لمالك وحدة بيانات NOSQL. يحتوي الإخراج على المعرف الفريد لتعريف الدور في الخاصية id . سجل هذه القيمة كما هو مطلوب لاستخدامها في خطوة التعيين لاحقا في هذا الدليل.

   {
     "assignableScopes": [
       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql"
     ],
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/bbbbbbbb-1111-2222-3333-cccccccccccc",
     "name": "bbbbbbbb-1111-2222-3333-cccccccccccc",
     "permissions": [
       {
         "dataActions": [
           "Microsoft.DocumentDB/databaseAccounts/readMetadata",
           "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*",
           "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*"
         ],
         "notDataActions": []
       }
     ],
     "resourceGroup": "msdocs-identity-example",
     "roleName": "Azure Cosmos DB for NoSQL Data Plane Owner",
     "type": "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions",
     "typePropertiesType": "CustomRole"
   }
   

   إشعار

   في هذا المثال، id ستكون /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/bbbbbbbb-1111-2222-3333-ccccccccccccالقيمة . يستخدم هذا المثال بيانات وهمية وسيكون المعرف الخاص بك مميزا عن هذا المثال.

1. إنشاء ملف Bicep جديد لتعريف تعريف الدور الخاص بك. قم بتسمية الملف data-plane-role-definition.bicep. أضف هذه dataActions إلى التعريف:

   	‏‏الوصف
   Microsoft.DocumentDB/databaseAccounts/readMetadata	يمكن قراءة بيانات التعريف على مستوى الحساب
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*	يمكنه تنفيذ أي عمليات بيانات على مستوى الحاوية
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*	يمكنه تنفيذ أي عملية على العناصر التي تحتوي على حاويات

   metadata description = 'Create RBAC definition for data plane access to Azure Cosmos DB for NoSQL.'
   
   @description('Name of the Azure Cosmos DB for NoSQL account.')
   param accountName string
   
   @description('Name of the role definition.')
   param roleDefinitionName string = 'Azure Cosmos DB for NoSQL Data Plane Owner'
   
   resource account 'Microsoft.DocumentDB/databaseAccounts@2024-05-15' existing = {
     name: accountName
   }
   
   resource definition 'Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions@2024-05-15' = {
     name: guid(account.id, roleDefinitionName)
     parent: account
     properties: {
       roleName: roleDefinitionName
       type: 'CustomRole'
       assignableScopes: [
         account.id
       ]
       permissions: [
         {
           dataActions: [
             'Microsoft.DocumentDB/databaseAccounts/readMetadata'
             'Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*'
             'Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*'
           ]
         }
       ]
     }
   }
   
   output definitionId string = definition.id
   

2. إنشاء ملف معلمات Bicep جديد يسمى data-plane-role-definition.bicepparam. في ملف المعلمات هذا، قم بتعيين اسم حساب Azure Cosmos DB الحالي ل NoSQL إلى المعلمة accountName .

   using './data-plane-role-definition.bicep'
   
   param accountName = '<name-of-existing-nosql-account>'
   

3. انشر قالب Bicep باستخدام az deployment group create.

   az deployment group create \
       --resource-group "<name-of-existing-resource-group>" \
       --parameters data-plane-role-definition.bicepparam \
       --template-file data-plane-role-definition.bicep
   

1. إنشاء تعريف دور جديد باستخدام New-AzCosmosDBSqlRoleDefinition. بالنسبة للمعلمة DataAction ، حدد إجراءات البيانات المدرجة هنا:

   	‏‏الوصف
   Microsoft.DocumentDB/databaseAccounts/readMetadata	يمكن قراءة بيانات التعريف على مستوى الحساب
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*	يمكنه تنفيذ أي عمليات بيانات على مستوى الحاوية
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*	يمكنه تنفيذ أي عملية على العناصر التي تحتوي على حاويات

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       AccountName = "<name-of-existing-nosql-account>"
       RoleName = "Azure Cosmos DB for NoSQL Data Plane Owner"
       Type = "CustomRole"
       AssignableScope = @(
           "/"
       )
       DataAction = @(
           "Microsoft.DocumentDB/databaseAccounts/readMetadata",
           "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*",
           "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*"
       )
   }
   New-AzCosmosDBSqlRoleDefinition @parameters
   

2. استخدم Get-AzCosmosDBSqlRoleDefinition لسرد جميع تعريفات الأدوار المقترنة بحساب Azure Cosmos DB ل NoSQL.

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       AccountName = "<name-of-existing-nosql-account>"
   }
   Get-AzCosmosDBSqlRoleDefinition @parameters    
   

3. راجع الإخراج من الأمر السابق. حدد موقع تعريف الدور الذي أنشأته للتو باسم Azure Cosmos DB لمالك وحدة بيانات NOSQL. يحتوي الإخراج على المعرف الفريد لتعريف الدور في الخاصية Id . سجل هذه القيمة كما هو مطلوب لاستخدامها في خطوة التعيين لاحقا في هذا الدليل.

   Id                         : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/bbbbbbbb-1111-2222-3333-cccccccccccc
   RoleName                   : Azure Cosmos DB for NoSQL Data Plane Owner
   Type                       : CustomRole
   AssignableScopes           : {/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql}
   Permissions.DataActions    : {Microsoft.DocumentDB/databaseAccounts/readMetadata, Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*, Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*}
   Permissions.NotDataActions :
   

   إشعار

   في هذا المثال، Id ستكون /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/bbbbbbbb-1111-2222-3333-ccccccccccccالقيمة . يستخدم هذا المثال بيانات وهمية وسيكون المعرف الخاص بك مميزا عن هذا المثال.

تعيين دور للهوية

الآن، قم بتعيين الدور المحدد حديثا إلى هوية بحيث يمكن للتطبيقات الخاصة بك الوصول إلى البيانات في Azure Cosmos DB ل NoSQL.

هام

يتطلب إنشاء تعيين دور مستوى بيانات جديد أذونات وحدة التحكم هذه:

• Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/read
• Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read
• Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write

لمزيد من المعلومات، راجع منح الوصول المستند إلى الدور لمستوى التحكم.

1. استخدم az cosmosdb show للحصول على المعرف الفريد لحسابك الحالي.

   az cosmosdb show \
       --resource-group "<name-of-existing-resource-group>" \
       --name "<name-of-existing-nosql-account>" \
       --query "{id:id}"
   

2. لاحظ إخراج الأمر السابق. سجل قيمة الخاصية id لهذا الحساب كما هو مطلوب للاستخدام في الخطوة التالية.

   {
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql"
   }
   

   إشعار

   في هذا المثال، id ستكون /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosqlالقيمة . يستخدم هذا المثال بيانات وهمية وسيكون المعرف الخاص بك مميزا عن هذا المثال.

3. تعيين الدور الجديد باستخدام az cosmosdb sql role assignment create. استخدم معرفات تعريف الدور المسجلة مسبقا للوسيطة --role-definition-id ، والمعرف الفريد لهويتك للوسيطة --principal-id . وأخيرا، استخدم معرف حسابك للوسيطة --scope .

   az cosmosdb sql role assignment create \
       --resource-group "<name-of-existing-resource-group>" \
       --account-name "<name-of-existing-nosql-account>" \
       --role-definition-id "<id-of-new-role-definition>" \
       --principal-id "<id-of-existing-identity>" \
       --scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql"
   

4. استخدم az cosmosdb sql role assignment list لسرد جميع تعيينات الأدوار لحساب Azure Cosmos DB الخاص بك ل NoSQL. راجع الإخراج للتأكد من إنشاء تعيين الدور الخاص بك.

   az cosmosdb sql role assignment list \
       --resource-group "<name-of-existing-resource-group>" \
       --account-name "<name-of-existing-nosql-account>"
   

1. إنشاء ملف Bicep جديد لتعريف تعيين الدور الخاص بك. قم بتسمية الملف data-plane-role-assignment.bicep.

   metadata description = 'Assign RBAC role for data plane access to Azure Cosmos DB for NoSQL.'
   
   @description('Name of the Azure Cosmos DB for NoSQL account.')
   param accountName string
   
   @description('Id of the role definition to assign to the targeted principal in the context of the account.')
   param roleDefinitionId string
   
   @description('Id of the identity/principal to assign this role in the context of the account.')
   param identityId string
   
   resource account 'Microsoft.DocumentDB/databaseAccounts@2024-05-15' existing = {
     name: accountName
   }
   
   resource assignment 'Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments@2024-05-15' = {
     name: guid(roleDefinitionId, identityId, account.id)
     parent: account
     properties: {
       principalId: identityId
       roleDefinitionId: roleDefinitionId
       scope: account.id
     }
   }
   
   output assignmentId string = assignment.id
   

2. إنشاء ملف معلمات Bicep جديد يسمى data-plane-role-assignment.bicepparam. في ملف المعلمات هذا، قم بتعيين اسم حساب Azure Cosmos DB الحالي ل NoSQL إلى accountName المعلمة، ومعرفات تعريف الدور المسجلة مسبقا إلى roleDefinitionId المعلمة، والمعرف الفريد لهويتك إلى المعلمة identityId .

   using './data-plane-role-assignment.bicep'
   
   param accountName = '<name-of-existing-nosql-account>'
   param roleDefinitionId = '<id-of-new-role-definition>'
   param identityId = '<id-of-existing-identity>'
   

3. انشر قالب Bicep باستخدام az deployment group create.

   az deployment group create \
       --resource-group "<name-of-existing-resource-group>" \
       --parameters data-plane-role-assignment.bicepparam \
       --template-file data-plane-role-assignment.bicep
   

4. كرر هذه الخطوات لمنح حق الوصول إلى الحساب من أي هويات أخرى ترغب في استخدامها.

   تلميح

   يمكنك تكرار هذه الخطوات للعديد من الهويات التي تريدها. عادة ما تتكرر هذه الخطوات على الأقل للسماح للمطورين بالوصول إلى حساب باستخدام هويتهم البشرية والسماح للتطبيقات بالوصول باستخدام هوية مدارة.

1. استخدم Get-AzCosmosDBAccount للحصول على بيانات التعريف لحسابك الحالي.

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       Name = "<name-of-existing-nosql-account>"
   }    
   Get-AzCosmosDBAccount @parameters | Select -Property Id
   

2. لاحظ إخراج الأمر السابق. سجل قيمة الخاصية Id لهذا الحساب كما هو مطلوب للاستخدام في الخطوة التالية.

   Id
   --    
   /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql
   

   إشعار

   في هذا المثال، Id ستكون /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosqlالقيمة . يستخدم هذا المثال بيانات وهمية وسيكون المعرف الخاص بك مميزا عن هذا المثال.

3. استخدم New-AzCosmosDBSqlRoleAssignment لتعيين الدور الجديد. استخدم معرفات تعريف الدور المسجلة مسبقا إلى المعلمة RoleDefinitionId ، والمعرف الفريد لهويتك إلى المعلمة PrincipalId . وأخيرا، استخدم معرف حسابك للمعلمة Scope .

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       AccountName = "<name-of-existing-nosql-account>"
       RoleDefinitionId = "<id-of-new-role-definition>"
       PrincipalId = "<id-of-existing-identity>"
       Scope = "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql"
   }    
   New-AzCosmosDBSqlRoleAssignment @parameters
   

4. سرد جميع تعيينات الأدوار لحساب Azure Cosmos DB الخاص بك ل NoSQL باستخدام Get-AzCosmosDBSqlRoleAssignment. راجع الإخراج للتأكد من إنشاء تعيين الدور الخاص بك.

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       AccountName = "<name-of-existing-nosql-account>"
   }
   Get-AzCosmosDBSqlRoleAssignment @parameters
   

التحقق من صحة الوصول إلى مستوى البيانات في التعليمات البرمجية

وأخيرا، تحقق من أنك منحت حق الوصول بشكل صحيح باستخدام التعليمات البرمجية للتطبيق وAzure SDK بلغة البرمجة المفضلة لديك.

C#‎

using Azure.Core;
using Azure.Identity;
using Microsoft.Azure.Cosmos;

string endpoint = "<account-endpoint>";

TokenCredential credential = new DefaultAzureCredential();

CosmosClient client = new(endpoint, credential);

هام

يستخدم نموذج التعليمات البرمجية Microsoft.Azure.Cosmos هذا المكتبات و Azure.Identity من NuGet.

JavaScript

const { CosmosClient } = require('@azure/cosmos');
const { DefaultAzureCredential } = require('@azure/identity');

const endpoint = '<account-endpoint>';

const credential = new DefaultAzureCredential();

const client = new CosmosClient({ endpoint, aadCredentials:credential})

هام

يستخدم نموذج التعليمات البرمجية @azure/cosmos هذا الحزم و @azure/identity من npm.

TypeScript

import { CosmosClient, CosmosClientOptions } from '@azure/cosmos'
import { TokenCredential, DefaultAzureCredential } from '@azure/identity'

let endpoint: string = '<account-endpoint>';

let credential: TokenCredential = new DefaultAzureCredential();

let options: CosmosClientOptions = {
  endpoint: endpoint,
  aadCredentials: credential
};

const client: CosmosClient = new CosmosClient(options);

هام

يستخدم نموذج التعليمات البرمجية @azure/cosmos هذا الحزم و @azure/identity من npm.

Python

from azure.cosmos import CosmosClient
from azure.identity import DefaultAzureCredential

endpoint = "<account-endpoint>"

credential = DefaultAzureCredential()

client = CosmosClient(endpoint, credential=credential)

هام

يستخدم نموذج التعليمات البرمجية azure-cosmos هذا الحزم و azure-identity من PyPI.

ذهب

package main

import (
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
    "github.com/Azure/azure-sdk-for-go/sdk/data/azcosmos"
)

const endpoint = "<account-endpoint>"

func main() {
    credential, _ := azidentity.NewDefaultAzureCredential(nil)
    client, _ := azcosmos.NewClient(endpoint, credential, nil)
}

هام

يستخدم نموذج التعليمات البرمجية azure/azure-sdk-for-go/sdk/data/azcosmos azure/azure-sdk-for-go/azidentity هذا الحزم من Go.

Java

import com.azure.cosmos.CosmosClient;
import com.azure.cosmos.CosmosClientBuilder;
import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;

public class NoSQL{
    public static void main(String[] args){
        DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
            .build();
        
        CosmosClient client = new CosmosClientBuilder()
            .endpoint("<account-endpoint>")
            .credential(credential);
            .buildClient();
    }
}

هام

تستخدم نماذج التعليمات البرمجية com.azure/azure-cosmos هذه الحزم و com.azure/azure-identity من Maven.