Konfigurieren Sie verwaltete Identitäten mit Microsoft Entra ID für Ihr Azure Cosmos DB-Konto

GILT FÜR: NoSQL MongoDB Cassandra Gremlin Tabelle

Verwaltete Identitäten für Azure-Ressourcen stellen für Azure-Dienste eine automatisch verwaltete Identität in Microsoft Entra ID bereit. Dieser Artikel zeigt, wie Sie eine verwaltete Identität für Azure Cosmos DB-Konten erstellen.

Voraussetzungen

• Wenn Sie mit verwalteten Identitäten für Azure-Ressourcen noch nicht vertraut sind, lesen Sie Was sind verwaltete Identitäten für Azure-Ressourcen?. Informationen über verwaltete Identitätstypen finden Sie unter Verwaltete Identitätstypen.
• Um verwaltete Identitäten einzurichten, muss Ihr Konto über die Rolle DocumentDB Account Contributor verfügen.

Hinzufügen einer systemseitig zugewiesenen Identität

Verwenden des Azure-Portals

Um eine vom System zugewiesene verwaltete Identität für ein bestehendes Azure Cosmos DB-Konto zu aktivieren, navigieren Sie zu Ihrem Konto im Azure-Portal und wählen Sie Identität aus dem linken Menü.

Stellen Sie unter dem Abschnitt System zugewiesen den Status auf Ein und wählen Sie Speichern. Sie werden aufgefordert, die Erstellung der systemzugewiesenen verwalteten Identität zu bestätigen.

Sobald die Identität erstellt und zugewiesen wurde, können Sie ihre Objekt-ID (Haupt-ID) abrufen.

Verwenden einer Azure-Ressourcenmanager (ARM) Vorlage

Wichtig

Stellen Sie sicher, dass Sie ein apiVersion oder 2021-03-15 höher verwenden, wenn Sie mit verwalteten Identitäten arbeiten.

Wenn Sie eine vom System zugewiesene Identität für ein neues oder vorhandenes Azure Cosmos DB Konto aktivieren möchten, fügen Sie die folgende Eigenschaft in die Ressourcendefinition ein:

"identity": {
    "type": "SystemAssigned"
}

Der resources Abschnitt Ihrer ARM-Vorlage sollte dann wie folgt aussehen:

"resources": [
    {
        "type": " Microsoft.DocumentDB/databaseAccounts",
        "identity": {
            "type": "SystemAssigned"
        },
        // ...
    },
    // ...
]

Sobald Ihr Azure Cosmos DB-Konto erstellt oder aktualisiert wurde, wird es die folgende Eigenschaft anzeigen:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Verwenden der Azure-Befehlszeilenschnittstelle

Um beim Erstellen eines neuen Azure Cosmos DB-Kontos eine systemseitig zugewiesene Identität zu aktivieren, fügen Sie die Option --assign-identity hinzu:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb create \
    -n $accountName \
    -g $resourceGroupName \
    --locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
    --assign-identity

Sie können über den Befehl az cosmosdb identity assign auch einem vorhandenen Konto eine systemseitig zugewiesene Identität hinzufügen:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity assign \
    -n $accountName \
    -g $resourceGroupName

Sobald Ihr Azure Cosmos DB-Konto erstellt oder aktualisiert wurde, können Sie die zugewiesene Identität mit dem Befehl az cosmosdb identity show abrufen:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity show \
    -n $accountName \
    -g $resourceGroupName

{
    "type": "SystemAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Hinzufügen einer benutzerseitig zugewiesenen Identität

Verwenden des Azure-Portals

Um eine vom Benutzer zugewiesene verwaltete Identität in einem bestehenden Azure Cosmos DB-Konto zu aktivieren, navigieren Sie zu Ihrem Konto im Azure-Portal und wählen Sie Identität im linken Menü.

Wählen Sie unter dem Abschnitt Benutzer zugewiesen die Optionen + Hinzufügen.

Suchen und wählen Sie alle Identitäten, die Sie Ihrem Azure Cosmos DB-Konto zuweisen möchten, und wählen Sie dann Hinzufügen.

Verwenden einer Azure-Ressourcenmanager (ARM) Vorlage

Wichtig

Stellen Sie sicher, dass Sie ein apiVersion oder 2021-03-15 höher verwenden, wenn Sie mit verwalteten Identitäten arbeiten.

Um eine vom Benutzer zugewiesene Identität für ein neues oder bestehendes Azure Cosmos DB-Konto zu aktivieren, fügen Sie die folgende Eigenschaft in die Ressourcendefinition ein:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<identity-resource-id>": {}
    }
}

Der resources Abschnitt Ihrer ARM-Vorlage sollte dann wie folgt aussehen:

"resources": [
    {
        "type": " Microsoft.DocumentDB/databaseAccounts",
        "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
                "<identity-resource-id>": {}
            }
        },
        // ...
    },
    // ...
]

Nachdem Ihr Azure Cosmos DB Konto erstellt oder aktualisiert wurde, wird die folgende Eigenschaft angezeigt:

"identity": {
    "type": "UserAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Verwenden der Azure-Befehlszeilenschnittstelle

Um eine vom Benutzer zugewiesene Identität zu aktivieren, während Sie ein neues Azure Cosmos DB-Konto erstellen, fügen Sie die Option --assign-identity hinzu und übergeben die Ressourcen-ID der Identität, die Sie zuweisen möchten:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb create \
    -n $accountName \
    -g $resourceGroupName \
    --locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
    --assign-identity <identity-resource-id>

Sie können auch eine vom Benutzer zugewiesene Identität zu einem bestehenden Konto hinzufügen, indem Sie den Befehl az cosmosdb identity assign verwenden:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity assign \
    -n $accountName \
    -g $resourceGroupName
    --identities <identity-resource-id>

Nachdem Ihr Azure Cosmos DB-Konto erstellt oder aktualisiert wurde, können Sie die zugewiesene Identität mit dem Befehl az cosmosdb identity show abrufen:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity show \
    -n $accountName \
    -g $resourceGroupName

{
    "type": "UserAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Entfernen einer dem System oder dem Benutzer zugewiesenen Identität

Verwenden einer Azure-Ressourcenmanager (ARM) Vorlage

Wichtig

Stellen Sie sicher, dass Sie ein apiVersion oder 2021-03-15 höher verwenden, wenn Sie mit verwalteten Identitäten arbeiten.

Legen Sie den type der Eigenschaft identity auf None fest, um eine systemseitig zugewiesene Identität aus Ihrem Azure Cosmos DB-Konto zu entfernen:

"identity": {
    "type": "None"
}

Verwenden der Azure-Befehlszeilenschnittstelle

Um alle verwalteten Identitäten aus Ihrem Azure Cosmos DB-Konto zu entfernen, verwenden Sie den Befehl az cosmosdb identity remove:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity remove \
    -n $accountName \
    -g $resourceGroupName

Nächste Schritte

Tutorial: Speichern und Verwenden von Azure Cosmos DB-Anmeldeinformationen mit Azure Key Vault

• Weitere Informationen zu verwalteten Identitäten für Azure-Ressourcen finden Sie hier.
• Erfahren Sie mehr über kundenverwaltete Schlüssel auf Azure Cosmos DB