Suojaa Cosmos-tietokantasi Microsoft Fabric -tietokannassa

Microsoft Fabricin Cosmos DB on tekoälyoptimoitu NoSQL-tietokanta, joka on määritetty automaattisesti tyypillisiin kehitystarpeisiin yksinkertaistetulla hallintakokemuksella. Fabric tarjoaa Fabric-cosmos DB:n sisäänrakennetun suojauksen, käyttöoikeuksien valvonnan ja valvonnan. Vaikka Fabric tarjoaakin tietojesi suojaamiseksi sisäisiä suojausominaisuuksia, on tärkeää parantaa tilisi, tietojesi ja verkkomääritystesi suojausta edelleen noudattamalla parhaita käytäntöjä.

Tässä artikkelissa on ohjeita siitä, miten voit parhaiten suojata Cosmos DB:n Fabric-käyttöönotossa.

Käyttäjätietojen hallinta

• Hallittujen käyttäjätietojen avulla voit käyttää tiliäsi muista Azure-palveluista: Hallitut käyttäjätiedot poistavat tarpeen hallita tunnistetietoja antamalla automaattisesti hallitut käyttäjätiedot Microsoft Entra -tunnuksella. Hallittujen käyttäjätietojen avulla voit turvallisesti käyttää Cosmos DB:tä muista Azure-palveluista upottamatta tunnistetietoja koodiisi. Vaikka Cosmos DB In Fabric tukee useita erityyppisiä käyttäjätietoja (palvelun päänimet), hallitut käyttäjätiedot ovat suositeltavin vaihtoehto, koska niiden ei tarvitse käsitellä tunnistetietojasi suoraan. Lisätietoja on artikkelissa Todentaminen Azure-isäntäpalveluista.

• Entra-todennuksen avulla voit tehdä kyselyjä, luoda ja käyttää kohteita säilössä kehittäessäsi ratkaisuja: Käytä Cosmos DB -säilöjen kohteita käyttämällä käyttäjätietojasi ja Microsoft Entra -todennustasi. Pakota pienin oikeuksien käyttöoikeus kyselyille, luomiselle ja muille toiminnoille. Tämä ohjausobjekti auttaa turvaamaan tietotoiminnot. Lisätietoja on ohjeaiheessa Yhteyden muodostaminen turvallisesti kehitysympäristöstä.

• Erota tietoihin ja koneen käytön hallintaan käytetyt Azure-käyttäjätiedot: Käytä erillisiä Azure-käyttäjätietoja koneen- ja tietotason toiminnan hallintaan, jotta voit vähentää etuoikeutetun eskaloinnin riskiä ja varmistaa paremman käyttöoikeuksien valvonnan. Tämä erottelu parantaa suojausta rajoittamalla kunkin käyttäjätiedon vaikutusaluetta. Lisätietoja löytyy kohdasta valtuutuksen määrittäminen.

Käyttäjien käyttöoikeudet

• Määritä vähiten sallitut Fabric-työtilan käyttöoikeudet: käyttöoikeudet pakotetaan työtilan nykyisen käyttöoikeustason mukaan. Jos käyttäjä poistetaan Fabric-työtilasta, hän menettää myös automaattisesti käyttöoikeuden siihen liittyvään Cosmos DB -tietokantaan ja sen pohjana oleviin tietoihin. Lisätietoja on artikkelissa Fabric-käyttöoikeusmalli.

Suorituskonteksti ja identiteettinäkökulmat

• Ymmärrä muistikirjan suoritusidentiteetti: Kun työskentelet muistikirjojen kanssa Fabric-työtiloissa, ole tietoinen siitä, että Fabric-artefaktit suoritetaan aina käyttäjän identiteetillä, joka ne loi, riippumatta siitä, kuka suorittaa. Tämä tarkoittaa, että tietojen käyttöoikeudet ja tarkastusjäljet heijastavat muistikirjan tekijän identiteettiä, eivät pesänhoitajan identiteettiä. Suunnittele muistikirjan luonti- ja jakamisstrategia sen mukaisesti, jotta käyttöoikeudet ovat asianmukaiset.

• Suunnittele työtilan identiteetin rajoituksia: Tällä hetkellä Fabric ei tue run-as toiminnallisuutta Workspace Identityn kanssa. Operaatiot suoritetaan käyttäjän identiteetillä, joka ne loi, eivätkä jaetun työtilan identiteetin avulla. Ota tämä huomioon monikäyttäjäskenaarioita suunnitellessasi ja varmista, että sopivat käyttäjät luovat artefakteja, jotka jaetaan työtilassa.

Liittyvä sisältö

• Lue lisää Microsoft Fabricin Cosmos DB:stä
• Todenna Microsoft Entra ID:n avulla Cosmos DB:hen Microsoft Fabricissa
• Valtuutuksen hallinta Microsoft Fabricin Cosmos DB:ssä