Zabezpečení služby Cosmos DB v databázi Microsoft Fabric

Cosmos DB v Microsoft Fabric je databáze NoSQL optimalizovaná pro AI automaticky nakonfigurovanou pro typické potřeby vývoje se zjednodušeným prostředím pro správu. "Fabric poskytuje integrované zabezpečení, řízení přístupu a monitorování pro Cosmos DB ve Fabric." I když Fabric poskytuje integrované funkce zabezpečení pro ochranu dat, je nezbytné postupovat podle osvědčených postupů pro další vylepšení zabezpečení účtu, dat a síťových konfigurací.

Tento článek poskytuje pokyny, jak optimálně zabezpečit Cosmos DB v nasazení na platformě Fabric.

Správa identit

• Použití spravovaných identit pro přístup k účtu z jiných služeb Azure: Spravované identity eliminují potřebu správy přihlašovacích údajů tím, že poskytují automaticky spravovanou identitu v Microsoft Entra ID. Pomocí spravovaných identit můžete bezpečně přistupovat ke službě Cosmos DB z jiných služeb Azure bez vložení přihlašovacích údajů do kódu. I když Cosmos DB ve Fabricu podporuje více druhů identit (instanční objekty), spravované identity jsou upřednostňovanou volbou, protože nevyžadují, aby vaše řešení manipulovalo s přihlašovacími údaji přímo. Další informace najdete v tématu ověřování z hostitelských služeb Azure.

• Ověřování Entra slouží k dotazování, vytváření a přístupu k položkám v kontejneru při vývoji řešení: Přístup k položkám v kontejnerech Cosmos DB pomocí vaší lidské identity a ověřování Microsoft Entra. Vynucujte přístup s nejnižšími oprávněními pro dotazování, vytváření a další operace. Tento ovládací prvek pomáhá zabezpečit vaše datové operace. Další informace najdete v tématu Bezpečné připojení z vývojového prostředí.

• Oddělte identity Azure používané pro přístup k rovině dat a řídicí roviny: Pro operace roviny řízení a roviny dat použijte jedinečné identity Azure, abyste snížili riziko eskalace oprávnění a zajistili lepší řízení přístupu. Toto oddělení zvyšuje zabezpečení omezením rozsahu jednotlivých identit. Další informace najdete v tématu konfigurace autorizace.

Uživatelská oprávnění

• Konfigurace přístupu k pracovnímu prostoru Fabric s minimálními oprávněními: Uživatelská oprávnění se vynucují na základě aktuální úrovně přístupu k pracovnímu prostoru. Pokud je uživatel odebrán z pracovního prostoru Fabric, automaticky ztratí přístup k přidružené databázi Cosmos DB a podkladovým datům. Další informace najdete v Modelu oprávnění Fabric.

Aspekty kontextu vykonávání a identit

• Porozumění identitě spouštění poznámkového bloku: Při práci s poznámkovými bloky v pracovních prostorech Fabric mějte na paměti, že artefakty Fabric se vždy spouštějí s identitou uživatele, který je vytvořil, bez ohledu na to, kdo provádí jejich spuštění. To znamená, že přístupová oprávnění k datům a záznamy auditu budou odrážet identitu autora poznámkového bloku, nikoli identitu exekutora. Naplánujte si strategii vytváření a sdílení poznámkového bloku, abyste zajistili odpovídající řízení přístupu.

• Plán omezení identity pracovního prostoru: Fabric v současné době nepodporuje run-as funkce s identitou pracovního prostoru. Operace se spouštějí s identitou uživatele, který je vytvořil, a ne se sdílenou identitou pracovního prostoru. Zvažte to při navrhování scénářů s více uživateli a ujistěte se, že příslušní uživatelé vytvářejí artefakty, které budou sdíleny v rámci pracovního prostoru.

Související obsah

• Informace o službě Cosmos DB v Microsoft Fabric
• Ověřování pomocí ID Microsoft Entra pro Cosmos DB v Microsoft Fabric
• Správa autorizace ve službě Cosmos DB v Microsoft Fabric