Konfigurace řízení přístupu na základě role s využitím Microsoft Entra ID pro účet služby Azure Cosmos DB

PLATÍ PRO: NoSQL

Poznámka:

Tento článek se týká řízení přístupu na základě role pro operace roviny dat ve službě Azure Cosmos DB. Pokud používáte operace roviny správy, přečtěte si článek o řízení přístupu na základě role v článku o operacích roviny správy.

Azure Cosmos DB zveřejňuje integrovaný systém řízení přístupu na základě role, který umožňuje:

• Ověřte své žádosti o data pomocí identity Microsoft Entra.
• Žádosti o data můžete autorizovat pomocí jemně odstupňovaného modelu oprávnění na základě role.

Koncepty

Řízení přístupu na základě role na základě roviny dat Azure Cosmos DB je založené na konceptech, které se běžně vyskytují v jiných systémech řízení přístupu na základě role, jako je řízení přístupu na základě role Azure:

• Model oprávnění se skládá ze sady akcí; každá z těchto akcí se mapuje na jednu nebo více databázových operací. Mezi příklady akcí patří čtení položky, zápis položky nebo provádění dotazu.
• Uživatelé služby Azure Cosmos DB vytvářejí definice rolí obsahující seznam povolených akcí.
• Definice rolí se přiřazují konkrétním identitám Microsoft Entra prostřednictvím přiřazení rolí. Přiřazení role také definuje obor, na který se definice role vztahuje; v současné době jsou v současné době tři obory:
  • Účet služby Azure Cosmos DB
  • Databáze Azure Cosmos DB
  • Kontejner Azure Cosmos DB.

Model oprávnění

Důležité

Tento model oprávnění pokrývá pouze databázové operace, které zahrnují čtení a zápis dat. Nevztahuje se na žádný druh operací správy u prostředků pro správu, včetně:

• Vytvoření, nahrazení nebo odstranění databáze
• Vytvoření, nahrazení nebo odstranění kontejneru
• Propustnost kontejneru pro čtení a nahrazení
• Vytvoření, nahrazení, odstranění, čtení uložených procedur
• Vytvoření, nahrazení, odstranění, čtení triggerů
• Vytvoření, nahrazení, odstranění nebo čtení uživatelem definovaných funkcí

K ověřování operací správy pomocí identity Microsoft Entra nemůžete použít žádnou sadu SDK roviny dat Azure Cosmos DB. Místo toho musíte použít řízení přístupu na základě role v Azure prostřednictvím jedné z následujících možností:

• Šablony Azure Resource Manageru (šablony ARM)
• Skripty Azure PowerShellu
• Skripty Azure CLI
• Knihovny pro správu Azure dostupné v:
  • .NET
  • Java
  • Python

Čtení databáze a kontejneru pro čtení se považují za požadavky na metadata. Přístup k těmto operacím je možné udělit, jak je uvedeno v následující části.

Tato tabulka obsahuje seznam všech akcí vystavených modelem oprávnění.

Název	Odpovídající databázové operace
Microsoft.DocumentDB/databaseAccounts/readMetadata	Čtení metadat účtu Podrobnosti najdete v požadavcích na metadata.
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/create	Vytvořte novou položku.
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read	Přečtěte si jednotlivé položky podle ID a klíče oddílu (čtení point-read).
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/replace	Nahraďte existující položku.
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/upsert	"Upsert" položky. Tato operace vytvoří položku, pokud ještě neexistuje, nebo položku nahradí, pokud existuje.
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/delete	Odstranění položky
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery	Spusťte dotaz SQL.
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed	Přečtěte si z kanálu změn kontejneru. Spouštění dotazů SQL pomocí sad SDK
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeStoredProcedure	Spusťte uloženou proceduru.
Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/manageConflicts	Umožňuje spravovat konflikty pro účty oblastí s více zápisy (to znamená vypsat a odstranit položky z konfliktních kanálů).

Poznámka:

Při spouštění dotazů prostřednictvím sad SDK se vyžadují obě Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery i Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed oprávnění.

Zástupné kóty jsou podporovány na úrovních kontejnerů i položek :

• Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*
• Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*

Požadavky na metadata

Sady SDK služby Azure Cosmos DB během inicializace vydávají požadavky na metadata jen pro čtení a obsluhuje konkrétní žádosti o data. Tyto požadavky načítají různé podrobnosti o konfiguraci, například:

• Globální konfigurace vašeho účtu, která zahrnuje oblasti Azure, ve kterých je účet dostupný.
• Klíč oddílu kontejnerů nebo jejich zásad indexování.
• Seznam fyzických oddílů, které tvoří kontejner a jejich adresy.

Nenačítají žádná data, která jste uložili ve svém účtu.

Aby byla zajištěna nejlepší transparentnost našeho modelu oprávnění, jsou tyto požadavky na metadata explicitně pokryty Microsoft.DocumentDB/databaseAccounts/readMetadata akcí. Tato akce by měla být povolená v každé situaci, kdy je váš účet služby Azure Cosmos DB přístupný prostřednictvím jedné ze sad SDK služby Azure Cosmos DB. Může být přiřazen (prostřednictvím přiřazení role) na libovolné úrovni v hierarchii Služby Azure Cosmos DB (to znamená účet, databáze nebo kontejner).

Skutečné požadavky na metadata povolené akcí Microsoft.DocumentDB/databaseAccounts/readMetadata závisí na rozsahu, ke kterému je akce přiřazena:

Obor	Žádosti povolené akcí
Obchodní vztah	• Výpis databází pod účtem • Pro každou databázi v rámci účtu povolené akce v oboru databáze
Databáze	• Čtení metadat databáze • Výpis kontejnerů v databázi • Pro každý kontejner v databázi povolené akce v oboru kontejneru
Kontejner	• Čtení metadat kontejneru • Výpis fyzických oddílů v kontejneru • Řešení adresy každého fyzického oddílu

Důležité

Propustnost není zahrnuta do metadat pro tuto akci.

Předdefinované definice rolí

Azure Cosmos DB zveřejňuje dvě předdefinované definice rolí:

Důležité

Definice rolí termínů zde odkazují na definice konkrétních rolí služby Azure Cosmos DB. Liší se od definic rolí řízení přístupu na základě role v Azure.

ID	Name	Zahrnuté akce
00000000-0000-0000-0000-000000000001	Integrovaná čtečka dat ve službě Cosmos DB	Microsoft.DocumentDB/databaseAccounts/readMetadata Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed
00000000-0000-0000-0000-000000000002	Integrovaný přispěvatel dat ve službě Cosmos DB	Microsoft.DocumentDB/databaseAccounts/readMetadata Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/* Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*

Vytváření vlastních definic rolí

Při vytváření vlastní definice role je potřeba zadat:

• Název účtu služby Azure Cosmos DB.
• Skupina prostředků obsahující váš účet.
• Typ definice role: CustomRole.
• Název definice role.
• Seznam akcí , které má role povolit.
• Jeden nebo více oborů, ke kterým je možné přiřadit definici role; Podporované obory jsou:
  • / (úroveň účtu),
  • /dbs/<database-name> (na úrovni databáze),
  • /dbs/<database-name>/colls/<container-name> (úroveň kontejneru).

Poznámka:

Popsané operace jsou k dispozici v:

• Azure PowerShell: Az.CosmosDB verze 1.2.0 nebo vyšší
• Azure CLI: verze 2.24.0 nebo vyšší

Použití Azure Powershell

Vytvořte roli s názvem MyReadOnlyRole , která obsahuje pouze akce čtení:

$resourceGroupName = "<myResourceGroup>"
$accountName = "<myCosmosAccount>"
New-AzCosmosDBSqlRoleDefinition -AccountName $accountName `
    -ResourceGroupName $resourceGroupName `
    -Type CustomRole -RoleName MyReadOnlyRole `
    -DataAction @( `
        'Microsoft.DocumentDB/databaseAccounts/readMetadata',
        'Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read', `
        'Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery', `
        'Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed') `
    -AssignableScope "/"

Vytvořte roli s názvem MyReadWriteRole , která obsahuje všechny akce:

New-AzCosmosDBSqlRoleDefinition -AccountName $accountName `
    -ResourceGroupName $resourceGroupName `
    -Type CustomRole -RoleName MyReadWriteRole `
    -DataAction @( `
        'Microsoft.DocumentDB/databaseAccounts/readMetadata',
        'Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*', `
        'Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*') `
    -AssignableScope "/"

Uveďte definice rolí, které jste vytvořili pro načtení jejich ID:

Get-AzCosmosDBSqlRoleDefinition -AccountName $accountName `
    -ResourceGroupName $resourceGroupName

RoleName         : MyReadWriteRole
Id               : /subscriptions/<mySubscriptionId>/resourceGroups/<myResourceGroup>/providers/Microsoft.DocumentDB/databaseAcc
                   ounts/<myCosmosAccount>/sqlRoleDefinitions/<roleDefinitionId>
Type             : CustomRole
Permissions      : {Microsoft.Azure.Management.CosmosDB.Models.Permission}
AssignableScopes : {/subscriptions/<mySubscriptionId>/resourceGroups/<myResourceGroup>/providers/Microsoft.DocumentDB/databaseAc
                   counts/<myCosmosAccount>}

RoleName         : MyReadOnlyRole
Id               : /subscriptions/<mySubscriptionId>/resourceGroups/<myResourceGroup>/providers/Microsoft.DocumentDB/databaseAcc
                   ounts/<myCosmosAccount>/sqlRoleDefinitions/<roleDefinitionId>
Type             : CustomRole
Permissions      : {Microsoft.Azure.Management.CosmosDB.Models.Permission}
AssignableScopes : {/subscriptions/<mySubscriptionId>/resourceGroups/<myResourceGroup>/providers/Microsoft.DocumentDB/databaseAc
                   counts/<myCosmosAccount>}

Použití Azure CLI

Vytvořte roli s názvem MyReadOnlyRole , která obsahuje pouze akce čtení v souboru s názvem role-definition-ro.json:

{
    "RoleName": "MyReadOnlyRole",
    "Type": "CustomRole",
    "AssignableScopes": ["/"],
    "Permissions": [{
        "DataActions": [
            "Microsoft.DocumentDB/databaseAccounts/readMetadata",
            "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read",
            "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery",
            "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed"
        ]
    }]
}

resourceGroupName='<myResourceGroup>'
accountName='<myCosmosAccount>'
az cosmosdb sql role definition create --account-name $accountName --resource-group $resourceGroupName --body @role-definition-ro.json

Vytvořte roli s názvem MyReadWriteRole , která obsahuje všechny akce v souboru s názvem role-definition-rw.json:

{
    "RoleName": "MyReadWriteRole",
    "Type": "CustomRole",
    "AssignableScopes": ["/"],
    "Permissions": [{
        "DataActions": [
            "Microsoft.DocumentDB/databaseAccounts/readMetadata",
            "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*",
            "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*"
        ]
    }]
}

az cosmosdb sql role definition create --account-name $accountName --resource-group $resourceGroupName --body @role-definition-rw.json

Uveďte definice rolí, které jste vytvořili pro načtení jejich ID:

az cosmosdb sql role definition list --account-name $accountName --resource-group $resourceGroupName

[
  {
    "assignableScopes": [
      "/subscriptions/<mySubscriptionId>/resourceGroups/<myResourceGroup>/providers/Microsoft.DocumentDB/databaseAccounts/<myCosmosAccount>"
    ],
    "id": "/subscriptions/<mySubscriptionId>/resourceGroups/<myResourceGroup>/providers/Microsoft.DocumentDB/databaseAccounts/<myCosmosAccount>/sqlRoleDefinitions/<roleDefinitionId>",
    "name": "<roleDefinitionId>",
    "permissions": [
      {
        "dataActions": [
          "Microsoft.DocumentDB/databaseAccounts/readMetadata",
          "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*",
          "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*"
        ],
        "notDataActions": []
      }
    ],
    "resourceGroup": "<myResourceGroup>",
    "roleName": "MyReadWriteRole",
    "sqlRoleDefinitionGetResultsType": "CustomRole",
    "type": "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions"
  },
  {
    "assignableScopes": [
      "/subscriptions/<mySubscriptionId>/resourceGroups/<myResourceGroup>/providers/Microsoft.DocumentDB/databaseAccounts/<myCosmosAccount>"
    ],
    "id": "/subscriptions/<mySubscriptionId>/resourceGroups/<myResourceGroup>/providers/Microsoft.DocumentDB/databaseAccounts/<myCosmosAccount>/sqlRoleDefinitions/<roleDefinitionId>",
    "name": "<roleDefinitionId>",
    "permissions": [
      {
        "dataActions": [
          "Microsoft.DocumentDB/databaseAccounts/readMetadata",
          "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/read",
          "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/executeQuery",
          "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/readChangeFeed"
        ],
        "notDataActions": []
      }
    ],
    "resourceGroup": "<myResourceGroup>",
    "roleName": "MyReadOnlyRole",
    "sqlRoleDefinitionGetResultsType": "CustomRole",
    "type": "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions"
  }
]

Použití šablon Azure Resource Manageru

Referenční informace a příklady použití šablon Azure Resource Manageru k vytváření definic rolí najdete v tématu Microsoft.DocumentDB databaseAccounts/sqlRoleDefinitions.

Vytvoření přiřazení rolí

K identitám Microsoft Entra můžete přidružit předdefinované nebo vlastní definice rolí. Při vytváření přiřazení role musíte zadat:

• Název účtu služby Azure Cosmos DB.

• Skupina prostředků obsahující váš účet.

• ID definice role, která se má přiřadit.

• ID objektu zabezpečení identity, ke které má být přiřazena definice role.

• Rozsah přiřazení role; Podporované obory jsou:

  • / (úroveň účtu)
  • /dbs/<database-name> (na úrovni databáze)
  • /dbs/<database-name>/colls/<container-name> (úroveň kontejneru)

  Obor se musí shodovat nebo musí být dílčím oborem jednoho z přiřaditelných oborů definice role.

Poznámka:

Pokud chcete vytvořit přiřazení role pro instanční objekt, nezapomeňte použít jeho ID objektu, jak je uvedeno v části Podnikové aplikace v okně portálu Microsoft Entra ID .

Poznámka:

Popsané operace jsou k dispozici v:

• Azure PowerShell: Az.CosmosDB verze 1.2.0 nebo vyšší
• Azure CLI: verze 2.24.0 nebo vyšší

Použití Azure Powershell

Přiřazení role k identitě:

$resourceGroupName = "<myResourceGroup>"
$accountName = "<myCosmosAccount>"
$readOnlyRoleDefinitionId = "<roleDefinitionId>" # as fetched above
# For Service Principals make sure to use the Object ID as found in the Enterprise applications section of the Azure Active Directory portal blade.
$principalId = "<aadPrincipalId>"
New-AzCosmosDBSqlRoleAssignment -AccountName $accountName `
    -ResourceGroupName $resourceGroupName `
    -RoleDefinitionId $readOnlyRoleDefinitionId `
    -Scope "/" `
    -PrincipalId $principalId

Použití Azure CLI

Přiřazení role k identitě:

resourceGroupName='<myResourceGroup>'
accountName='<myCosmosAccount>'
readOnlyRoleDefinitionId='<roleDefinitionId>' # as fetched above
# For Service Principals make sure to use the Object ID as found in the Enterprise applications section of the Azure Active Directory portal blade.
principalId='<aadPrincipalId>'
az cosmosdb sql role assignment create --account-name $accountName --resource-group $resourceGroupName --scope "/" --principal-id $principalId --role-definition-id $readOnlyRoleDefinitionId

Použití šablon Bicep/Azure Resource Manageru

Předdefinované přiřazení pomocí šablony Bicep:

resource sqlRoleAssignment 'Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments@2023-04-15' = {
  name: guid(<roleDefinitionId>, <aadPrincipalId>, <databaseAccountResourceId>)
  parent: databaseAccount
  properties:{
    principalId: <aadPrincipalId>
    roleDefinitionId: '/${subscription().id}/resourceGroups/<databaseAccountResourceGroup>/providers/Microsoft.DocumentDB/databaseAccounts/<myCosmosAccount>/sqlRoleDefinitions/<roleDefinitionId>'
    scope: <databaseAccountResourceId>
  }
}

Referenční informace a příklady použití šablon Azure Resource Manageru k vytváření přiřazení rolí najdete v tématu Microsoft.DocumentDB databaseAccounts/sqlRoleAssignments.

Inicializace sady SDK s ID Microsoft Entra

Pokud chcete ve své aplikaci použít řízení přístupu na základě role služby Azure Cosmos DB, musíte aktualizovat způsob inicializace sady SDK služby Azure Cosmos DB. Místo předání primárního TokenCredential klíče účtu musíte předat instanci třídy. Tato instance poskytuje sadu SDK služby Azure Cosmos DB s kontextem potřebným k načtení tokenu Microsoft Entra jménem identity, kterou chcete použít.

Způsob vytvoření TokenCredential instance je nad rámec tohoto článku. Existuje mnoho způsobů, jak takovou instanci vytvořit v závislosti na typu identity Microsoft Entra, kterou chcete použít (instanční objekt, instanční objekt, skupina atd.). Nejdůležitější je, že vaše TokenCredential instance se musí přeložit na identitu (ID objektu zabezpečení), ke které jste přiřadili role. Příklady vytvoření TokenCredential třídy najdete tady:

• V .NET
• V Javě
• V JavaScriptu
• V Pythonu

Následující příklady používají instanční objekt s ClientSecretCredential instancí.

V .NET

Řízení přístupu na základě role ve službě Azure Cosmos DB se v současné době podporuje v sadě .NET SDK V3.

TokenCredential servicePrincipal = new ClientSecretCredential(
    "<azure-ad-tenant-id>",
    "<client-application-id>",
    "<client-application-secret>");
CosmosClient client = new CosmosClient("<account-endpoint>", servicePrincipal);

V Javě

Řízení přístupu na základě role ve službě Azure Cosmos DB se v současné době podporuje v sadě Java SDK V4.

TokenCredential ServicePrincipal = new ClientSecretCredentialBuilder()
    .authorityHost("https://login.microsoftonline.com")
    .tenantId("<azure-ad-tenant-id>")
    .clientId("<client-application-id>")
    .clientSecret("<client-application-secret>")
    .build();
CosmosAsyncClient Client = new CosmosClientBuilder()
    .endpoint("<account-endpoint>")
    .credential(ServicePrincipal)
    .build();

V JavaScriptu

Řízení přístupu na základě role ve službě Azure Cosmos DB se v současné době podporuje v sadě JavaScript SDK V3.

const servicePrincipal = new ClientSecretCredential(
    "<azure-ad-tenant-id>",
    "<client-application-id>",
    "<client-application-secret>");
const client = new CosmosClient({
    endpoint: "<account-endpoint>",
    aadCredentials: servicePrincipal
});

V Pythonu

Řízení přístupu na základě role služby Azure Cosmos DB je podporováno v sadě Python SDK verze 4.3.0b4 a vyšší.

aad_credentials = ClientSecretCredential(
    tenant_id="<azure-ad-tenant-id>",
    client_id="<client-application-id>",
    client_secret="<client-application-secret>")
client = CosmosClient("<account-endpoint>", aad_credentials)

Ověřování požadavků v rozhraní REST API

Při vytváření autorizační hlavičky rozhraní REST API nastavte parametr typu na Microsoft Entra ID a podpis hash (sig) na token OAuth, jak je znázorněno v následujícím příkladu:

type=aad&ver=1.0&sig=<token-from-oauth>

Použití Průzkumníka dat

Poznámka:

Průzkumník dat zveřejněný na webu Azure Portal zatím nepodporuje řízení přístupu na základě role služby Azure Cosmos DB. Pokud chcete při zkoumání dat použít identitu Microsoft Entra, musíte místo toho použít Průzkumníka služby Azure Cosmos DB.

Když k Průzkumníku služby Azure Cosmos DB přistupujete pomocí konkrétního ?feature.enableAadDataPlane=true parametru dotazu a přihlásíte se, použije se pro přístup k vašim datům následující logika:

1. Žádost o načtení primárního klíče účtu se pokusí jménem přihlášené identity. Pokud je tento požadavek úspěšný, primární klíč se použije pro přístup k datům účtu.
2. Pokud identita přihlášená není povolená k načtení primárního klíče účtu, použije se tato identita přímo k ověření přístupu k datům. V tomto režimu musí být identita přiřazena se správnými definicemi rolí, aby se zajistil přístup k datům .

Žádosti o auditování dat

Diagnostické protokoly získávají rozšířené informace o identitě a autorizaci pro každou operaci dat při použití řízení přístupu na základě role ve službě Azure Cosmos DB. Toto rozšíření umožňuje provádět podrobné auditování a načíst identitu Microsoft Entra použitou pro každou žádost o data odeslanou do vašeho účtu služby Azure Cosmos DB.

Tyto další informační toky v kategorii protokolu DataPlaneRequests se skládají ze dvou dalších sloupců:

• aadPrincipalId_g zobrazuje ID objektu zabezpečení identity Microsoft Entra, která byla použita k ověření požadavku.
• aadAppliedRoleAssignmentId_gzobrazuje přiřazení role, které bylo dodrženo při autorizaci žádosti.

Vynucení řízení přístupu na základě role jako jediné metody ověřování

V situacích, kdy chcete vynutit, aby se klienti připojili ke službě Azure Cosmos DB prostřednictvím výhradně řízení přístupu na základě role, můžete primární/sekundární klíče účtu zakázat. Když to uděláte, všechny příchozí požadavky používající primární nebo sekundární klíč nebo token prostředku se aktivně odmítne.

Použití šablon Azure Resource Manageru

Při vytváření nebo aktualizaci účtu služby Azure Cosmos DB pomocí šablon Azure Resource Manageru disableLocalAuth nastavte vlastnost na true:

"resources": [
    {
        "type": " Microsoft.DocumentDB/databaseAccounts",
        "properties": {
            "disableLocalAuth": true,
            // ...
        },
        // ...
    },
    // ...
 ]

Omezení

• Můžete vytvořit až 100 definic rolí a 2 000 přiřazení rolí na účet služby Azure Cosmos DB.
• Definice rolí můžete přiřadit pouze identitám Microsoft Entra patřícím do stejného tenanta Microsoft Entra jako váš účet Azure Cosmos DB.
• Řešení skupin Microsoft Entra se v současné době nepodporuje pro identity, které patří do více než 200 skupin.
• Token Microsoft Entra se v současné době předává jako hlavička s jednotlivými požadavky odesílanými do služby Azure Cosmos DB, což zvyšuje celkovou velikost datové části.

Nejčastější dotazy

Tato část obsahuje nejčastější dotazy týkající se řízení přístupu na základě role a služby Azure Cosmos DB.

Která rozhraní API služby Azure Cosmos DB podporují řízení přístupu na základě role na úrovni dat?

Odteď se podporuje jenom rozhraní API NoSQL.

Je možné spravovat definice a přiřazení rolí na webu Azure Portal?

Podpora portálu Azure Portal pro správu rolí ještě není dostupná.

Které sady SDK v rozhraní API služby Azure Cosmos DB pro NoSQL podporují řízení přístupu na základě role?

Aktuálně se podporují sady .NET V3, Java V4, JavaScript V3 a Python V4.3 nebo novější .

Aktualizují sady SDK služby Azure Cosmos DB automaticky token Microsoft Entra, když vyprší jeho platnost?

Ano.

Je možné zakázat použití primárních nebo sekundárních klíčů účtu při použití řízení přístupu na základě role?

Ano, podívejte se, jak vynucovat řízení přístupu na základě role jako jedinou metodu ověřování.

Další kroky

• Získejte přehled zabezpečeného přístupu k datům ve službě Azure Cosmos DB.
• Přečtěte si další informace o řízení přístupu na základě role pro správu služby Azure Cosmos DB.