Kezelt azonosítók konfigurálása Microsoft Entra ID-vel Azure Cosmos DB fiókjához

A KÖVETKEZŐKRE VONATKOZIK: Nosql MongoDB Cassandra Gremlin Táblázat

Az Azure-erőforrásokhoz tartozó kezelt identitások az Azure-szolgáltatásokat automatikusan kezelt identitással látják el a Microsoft Entra ID-ban. Ez a cikk bemutatja, hogyan hozhat létre felügyelt identitást az Azure Cosmos DB-fiókokhoz.

Előfeltételek

• Ha nem ismeri az Azure-erőforrások felügyelt identitását, olvassa el az Azure-erőforrások felügyelt identitásai című témakört. A felügyelt identitástípusokról a Felügyelt identitástípusok című témakörben olvashat.
• A felügyelt identitások beállításához a fióknak Rendelkeznie kell a DocumentDB-fiók közreműködői szerepkörével.

Rendszer által hozzárendelt identitás hozzáadása

Using the Azure portal

Ha egy meglévő Azure Cosmos DB-fiókon szeretné engedélyezni a rendszer által hozzárendelt felügyelt identitást, keresse meg a fiókját az Azure Portalon, és válassza az Identitás lehetőséget a bal oldali menüből.

A Rendszer által hozzárendelt szakaszban állítsa be az állapotot a Be gombra, és válassza a Mentés lehetőséget. A rendszer kérni fogja, hogy erősítse meg a rendszer által hozzárendelt felügyelt identitás létrehozását.

Az identitás létrehozása és hozzárendelése után lekérheti az objektum (egyszerű) azonosítóját.

Azure Resource Manager-sablon (ARM) használata

Fontos

A felügyelt identitások használatakor mindenképpen használjon egy apiVersion2021-03-15 vagy több azonosítót.

Ha új vagy meglévő Azure Cosmos DB-fiókon szeretne rendszer által hozzárendelt identitást engedélyezni, adja meg az alábbi tulajdonságot az erőforrásdefinícióban:

"identity": {
    "type": "SystemAssigned"
}

Az resources ARM-sablon szakaszának így kell kinéznie:

"resources": [
    {
        "type": " Microsoft.DocumentDB/databaseAccounts",
        "identity": {
            "type": "SystemAssigned"
        },
        // ...
    },
    // ...
]

Az Azure Cosmos DB-fiók létrehozása vagy frissítése után a következő tulajdonság jelenik meg:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Az Azure CLI-vel

Ha új Azure Cosmos DB-fiók létrehozásakor engedélyezni szeretné a rendszer által hozzárendelt identitást, adja hozzá a --assign-identity következő lehetőséget:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb create \
    -n $accountName \
    -g $resourceGroupName \
    --locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
    --assign-identity

Rendszer által hozzárendelt identitást is hozzáadhat egy meglévő fiókhoz a az cosmosdb identity assign következő paranccsal:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity assign \
    -n $accountName \
    -g $resourceGroupName

Az Azure Cosmos DB-fiók létrehozása vagy frissítése után lekérheti a következő paranccsal hozzárendelt identitást az cosmosdb identity show :

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity show \
    -n $accountName \
    -g $resourceGroupName

{
    "type": "SystemAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Felhasználó által hozzárendelt identitás hozzáadása

Using the Azure portal

Ha egy felhasználó által hozzárendelt felügyelt identitást szeretne engedélyezni egy meglévő Azure Cosmos DB-fiókon, keresse meg a fiókját az Azure Portalon, és válassza az Identitás lehetőséget a bal oldali menüből.

A felhasználó által hozzárendelt szakaszban válassza a + Hozzáadás lehetőséget.

Keresse meg és válassza ki az Azure Cosmos DB-fiókhoz hozzárendelni kívánt összes identitást, majd válassza a Hozzáadás lehetőséget.

Azure Resource Manager-sablon (ARM) használata

Fontos

A felügyelt identitások használatakor mindenképpen használjon egy apiVersion2021-03-15 vagy több azonosítót.

Ha egy felhasználó által hozzárendelt identitást szeretne engedélyezni egy új vagy meglévő Azure Cosmos DB-fiókon, az erőforrásdefinícióban adja meg a következő tulajdonságot:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<identity-resource-id>": {}
    }
}

Az resources ARM-sablon szakaszának így kell kinéznie:

"resources": [
    {
        "type": " Microsoft.DocumentDB/databaseAccounts",
        "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
                "<identity-resource-id>": {}
            }
        },
        // ...
    },
    // ...
]

Az Azure Cosmos DB-fiók létrehozása vagy frissítése után a következő tulajdonság jelenik meg:

"identity": {
    "type": "UserAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Az Azure CLI-vel

Ha új Azure Cosmos DB-fiók létrehozásakor engedélyezni szeretné a felhasználó által hozzárendelt identitást, adja hozzá a --assign-identity lehetőséget, és adja meg a hozzárendelni kívánt identitás erőforrás-azonosítóját:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb create \
    -n $accountName \
    -g $resourceGroupName \
    --locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
    --assign-identity <identity-resource-id>

Felhasználó által hozzárendelt identitást is hozzáadhat egy meglévő fiókhoz a az cosmosdb identity assign következő paranccsal:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity assign \
    -n $accountName \
    -g $resourceGroupName
    --identities <identity-resource-id>

Az Azure Cosmos DB-fiók létrehozása vagy frissítése után lekérheti a paranccsal hozzárendelt identitást az cosmosdb identity show :

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity show \
    -n $accountName \
    -g $resourceGroupName

{
    "type": "UserAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Rendszer által hozzárendelt vagy felhasználó által hozzárendelt identitás eltávolítása

Azure Resource Manager-sablon (ARM) használata

Fontos

A felügyelt identitások használatakor mindenképpen használjon egy apiVersion2021-03-15 vagy több azonosítót.

Ha el szeretne távolítani egy rendszer által hozzárendelt identitást az Azure Cosmos DB-fiókból, állítsa a tulajdonság értékét a typeidentity következőre None:

"identity": {
    "type": "None"
}

Az Azure CLI-vel

Ha el szeretné távolítani az összes felügyelt identitást az Azure Cosmos DB-fiókból, használja a az cosmosdb identity remove következő parancsot:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity remove \
    -n $accountName \
    -g $resourceGroupName

Következő lépések

Oktatóanyag: Az Azure Cosmos DB hitelesítő adatainak tárolása és használata az Azure Key Vaulttal

• További információ az Azure-erőforrások felügyelt identitásairól
• További információ az ügyfél által felügyelt kulcsokról az Azure Cosmos DB-ben