Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cosmos DB dans Microsoft Fabric est une base de données NoSQL optimisée pour l’IA configurée automatiquement pour les besoins de développement classiques avec une expérience de gestion simplifiée. Fabric fournit une sécurité, un contrôle d’accès et une surveillance intégrés pour Cosmos DB dans Fabric. Bien que Fabric fournit des fonctionnalités de sécurité intégrées pour protéger vos données, il est essentiel de suivre les bonnes pratiques pour améliorer davantage la sécurité de votre compte, données et configurations réseau.
Cet article fournit des conseils sur la meilleure sécurisation de votre déploiement Cosmos DB dans Fabric.
Gestion des identités
Utilisez des identités managées pour accéder à votre compte à partir d’autres services Azure : les identités managées éliminent la nécessité de gérer les informations d’identification en fournissant une identité managée automatiquement dans l’ID Microsoft Entra. Utilisez des identités managées pour accéder en toute sécurité à Cosmos DB à partir d’autres services Azure sans incorporer d’informations d’identification dans votre code. Bien que Cosmos DB dans Fabric prenne en charge plusieurs types d’identités (principaux de service), les identités managées sont le choix préféré, car elles ne nécessitent pas votre solution pour gérer directement les informations d’identification. Pour plus d’informations, consultez l’authentification à partir des services hôtes Azure.
Utilisez l’authentification Entra pour interroger, créer et accéder à des éléments au sein d’un conteneur tout en développant des solutions : Accéder aux éléments au sein de conteneurs Cosmos DB à l’aide de votre identité humaine et de l’authentification Microsoft Entra. Appliquez un accès avec le moins de privilèges possible pour l’interrogation, la création et d’autres opérations. Ce contrôle permet de sécuriser vos opérations de données. Pour plus d’informations, consultez Se connecter en toute sécurité à partir de votre environnement de développement.
Séparez les identités Azure utilisées pour l’accès aux données et au plan de contrôle : utilisez des identités Azure distinctes pour les opérations de plan de contrôle et de plan de données pour réduire le risque d’escalade des privilèges et garantir un meilleur contrôle d’accès. Cette séparation améliore la sécurité en limitant l’étendue de chaque identité. Pour plus d’informations, consultez configurer l’autorisation.
Autorisations utilisateur
- Configurez l’accès à l’espace de travail Fabric le moins permissif : les autorisations utilisateur sont appliquées en fonction du niveau actuel d’accès à l’espace de travail. Si un utilisateur est supprimé de l’espace de travail Fabric, il perd également automatiquement l’accès à la base de données Cosmos DB associée et aux données sous-jacentes. Pour plus d’informations, consultez le modèle d’autorisation Fabric.
Considérations relatives au contexte d’exécution et aux identités
Comprendre l’identité d’exécution des blocs-notes : lors de l’utilisation de notebooks dans des espaces de travail Fabric, sachez que les artefacts Fabric s’exécutent toujours avec l’identité de l’utilisateur qui les a créés, quel que soit l'utilisateur qui les exécute. Cela signifie que les autorisations d’accès aux données et les pistes d’audit reflètent l’identité du créateur du bloc-notes, et non l’identité de l’exécuteur. Planifiez la création et la stratégie de partage de votre bloc-notes en conséquence pour garantir les contrôles d’accès appropriés.
Planifier les limitations de l’identité de l’espace de travail : Actuellement, Fabric ne prend pas en charge
run-asles fonctionnalités avec l’identité de l’espace de travail. Les opérations s’exécutent avec l’identité de l’utilisateur qui les a créées plutôt qu’une identité d’espace de travail partagé. Tenez compte de cela lors de la conception de scénarios multi-utilisateurs et assurez-vous que les utilisateurs appropriés créent des artefacts qui seront partagés dans l’espace de travail.