Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Cosmos DB in Microsoft Fabric ist eine KI-optimierte NoSQL-Datenbank, die automatisch für typische Entwicklungsanforderungen mit einer vereinfachten Verwaltungserfahrung konfiguriert ist. Fabric bietet integrierte Sicherheit, Zugriffssteuerung und Überwachung für Cosmos DB in Fabric. Während Fabric integrierte Sicherheitsfeatures zum Schutz Ihrer Daten bereitstellt, ist es wichtig, bewährte Methoden zu befolgen, um die Sicherheit Ihres Kontos, Ihrer Daten und Netzwerkkonfigurationen weiter zu verbessern.
Dieser Artikel bietet Anleitungen, um Cosmos DB in der Fabric-Bereitstellung optimal abzusichern.
Identitätsverwaltung
Verwenden Sie verwaltete Identitäten, um von anderen Azure-Diensten aus auf Ihr Konto zuzugreifen: Verwaltete Identitäten vermeiden die Notwendigkeit, Anmeldeinformationen zu verwalten, indem sie eine automatisch verwaltete Identität in Microsoft Entra ID bereitstellen. Verwenden Sie verwaltete Identitäten, um sicher von anderen Azure-Diensten aus auf Cosmos DB zuzugreifen, ohne Anmeldeinformationen in Ihren Code einzubetten. Während Cosmos DB in Fabric mehrere Arten von Identitätstypen (Dienstprinzipale) unterstützt, sind verwaltete Identitäten die bevorzugte Wahl, da sie ihre Lösung nicht für die direkte Verarbeitung von Anmeldeinformationen benötigen. Weitere Informationen finden Sie unter Authentifizierung von Azure-Hostdiensten.
Verwenden Sie entra-Authentifizierung, um Elemente in einem Container abzufragen, zu erstellen und darauf zuzugreifen, während Sie Lösungen entwickeln: Zugreifen auf Elemente in Cosmos DB-Containern mithilfe Ihrer menschlichen Identität und der Microsoft Entra-Authentifizierung. Erzwingen sie den geringsten Berechtigungszugriff für Abfragen, Erstellen und andere Vorgänge. Mit diesem Steuerelement können Sie Ihre Datenvorgänge schützen. Weitere Informationen finden Sie unter "Eine sichere Verbindung aus Ihrer Entwicklungsumgebung herstellen".
Trennen Sie die Azure-Identitäten, die für den Zugriff auf Daten und die Steuerungsebene verwendet werden: Verwenden Sie unterschiedliche Azure-Identitäten für Steuerungsebenen- und Datenebenenvorgänge, um das Risiko einer Berechtigungseskalation zu verringern und eine bessere Zugriffssteuerung sicherzustellen. Durch diese Trennung wird die Sicherheit verbessert, indem der Umfang der einzelnen Identitäten eingeschränkt wird. Weitere Informationen finden Sie unter Konfigurieren der Autorisierung.
Benutzerberechtigungen
- Konfigurieren Sie den am wenigsten zulässigen Zugriff auf den Fabric-Arbeitsbereich: Benutzerberechtigungen werden basierend auf der aktuellen Ebene des Arbeitsbereichszugriffs durchgesetzt. Wenn ein Benutzer aus dem Fabric-Arbeitsbereich entfernt wird, verliert er automatisch den Zugriff auf die zugeordnete Cosmos DB-Datenbank und die zugrunde liegenden Daten. Weitere Informationen finden Sie unter Fabric-Berechtigungsmodell.
Überlegungen zu Ausführungskontext und Identität
Grundlegendes zur Notizbuchausführungsidentität: Beachten Sie beim Arbeiten mit Notizbüchern in Fabric-Arbeitsbereichen, dass Fabric-Artefakte immer mit der Identität des Benutzers ausgeführt werden, der sie erstellt hat, unabhängig davon, wer sie ausführt. Dies bedeutet, dass Datenzugriffsberechtigungen und Überwachungspfade die Identität des Notizbucherstellers und nicht die Identität des Verwalters widerspiegeln. Planen Sie die Erstellung und Freigabestrategie Ihres Notizbuchs entsprechend, um geeignete Zugriffssteuerungen sicherzustellen.
Planung von Einschränkungen für die Arbeitsbereichsidentität: Derzeit unterstützt
run-asFabric keine Funktionalität mit Workspace Identity. Vorgänge werden mit der Identität des Benutzers ausgeführt, der sie erstellt hat, und nicht mit einer freigegebenen Arbeitsbereichsidentität. Berücksichtigen Sie dies beim Entwerfen von Szenarien mit mehreren Benutzern, und stellen Sie sicher, dass die entsprechenden Benutzer Artefakte erstellen, die innerhalb des Arbeitsbereichs freigegeben werden.