Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Untuk mengamankan data yang disimpan di akun Anda, Azure Cosmos DB menggunakan model otorisasi berbasis rahasia dengan kode autentikasi pesan berbasis hash (HMAC) yang kuat. Selain itu, Azure Cosmos DB menggunakan kontrol akses berbasis IP untuk keamanan firewall masuk. Model ini mirip dengan aturan firewall sistem database tradisional dan menambahkan lapisan keamanan lain ke akun Anda. Dengan firewall, konfigurasikan akun Azure Cosmos DB Anda untuk mengizinkan akses hanya dari sekumpulan komputer atau layanan cloud yang disetujui. Akses ke data yang disimpan dalam database Azure Cosmos DB Anda dari mesin dan layanan yang disetujui ini masih mengharuskan pemanggil untuk menyajikan token otorisasi yang valid.
Kontrol akses IP
Secara default, akun Azure Cosmos DB Anda dapat diakses dari internet jika permintaan menyertakan token otorisasi yang valid. Untuk mengonfigurasi kontrol akses berbasis kebijakan IP, pengguna harus menyediakan sekumpulan alamat IP atau rentang alamat IP dalam formulir CIDR (Perutean Antar-Domain Tanpa Kelas) untuk disertakan sebagai daftar IP klien yang diizinkan untuk mengakses akun Azure Cosmos DB tertentu. Setelah Anda menerapkan konfigurasi ini, setiap permintaan dari mesin di luar daftar yang diizinkan ini menerima respons 403 (Terlarang). Saat Anda menggunakan firewall IP, beberapa skenario mungkin mengharuskan Anda mengaktifkan akses dari portal Microsoft Azure. Untuk informasi selengkapnya, lihat mengizinkan permintaan dari portal Microsoft Azure. Saat menggunakan penjelajah data untuk API untuk akun NoSQL, Gremlin, atau Table, Anda juga perlu memperbarui pengaturan firewall untuk menambahkan alamat IP Anda saat ini ke aturan firewall. Perubahan firewall mungkin membutuhkan waktu hingga 15 menit untuk disebarluaskan, dan firewall mungkin bertingkah tidak konsisten selama periode ini.
Gabungkan firewall berbasis IP dengan subnet dan kontrol akses jaringan virtual. Dengan menggabungkannya, Anda dapat membatasi akses ke sumber apa pun yang memiliki IP publik dan/atau dari subnet tertentu dalam jaringan virtual. Untuk mempelajari selengkapnya tentang menggunakan subnet dan kontrol akses berbasis jaringan virtual, lihat Mengakses sumber daya Azure Cosmos DB dari jaringan virtual.
Untuk meringkas, token otorisasi selalu diperlukan untuk mengakses akun Azure Cosmos DB. Jika firewall IP dan Daftar Kontrol Akses (ACL) jaringan virtual tidak disiapkan, akun Azure Cosmos DB dapat diakses dengan token otorisasi. Setelah Anda menyiapkan aturan firewall IP atau daftar akses jaringan virtual untuk akun Azure Cosmos DB Anda, hanya permintaan dari sumber yang diizinkan yang akan berfungsi. Permintaan ini juga harus menyertakan token otorisasi yang valid untuk mendapatkan respons.
Anda juga dapat mengamankan data yang disimpan di akun Azure Cosmos DB Anda menggunakan firewall IP. Azure Cosmos DB mendukung kontrol akses berbasis IP untuk dukungan firewall masuk. Atur firewall IP di akun Azure Cosmos DB menggunakan salah satu metode berikut:
- Dari portal Azure
- Secara deklaratif dengan menggunakan templat Azure Resource Manager
- Secara terprogram melalui Azure CLI atau Azure PowerShell dengan memperbarui properti ipRangeFilter
Konfigurasikan firewall IP dengan menggunakan portal Microsoft Azure
Untuk mengatur kebijakan kontrol akses IP di portal Azure, buka halaman akun Azure Cosmos DB dan pilih Jaringan pada menu navigasi. Atur Perbolehkan akses dari nilai ke Jaringan yang dipilih, lalu pilih Simpan. Jika Anda belum menambahkan alamat IP apa pun, Anda juga perlu mencentang kotak untuk mengakui bahwa semua VNet dan IP diblokir. Jika Anda mengubah pengaturan akses jaringan publik, seperti menonaktifkannya atau membiarkan semua jaringan tersambung, alamat IP firewall apa pun yang Anda tetapkan sebelumnya akan dihapus.
Saat kontrol akses IP aktif, portal Microsoft Azure memungkinkan Anda menentukan alamat IP, rentang alamat IP, dan sakelar. Switch mengaktifkan akses ke layanan Azure lainnya dan portal Microsoft Azure. Bagian berikut ini memberikan detail tentang switch ini.
Catatan
Saat Anda mengaktifkan kontrol akses IP untuk akun Azure Cosmos DB Anda, hanya permintaan dari alamat IP yang diizinkan yang dapat menjangkau akun Anda. Jika alamat IP tidak ada dalam daftar yang diizinkan, permintaannya akan diblokir. Anda juga tidak dapat menelusuri sumber daya Cosmos DB di portal Microsoft Azure kecuali Anda mengizinkan akses portal.
Memperbolehkan permintaan dari portal Microsoft Azure
Saat mengaktifkan kebijakan kontrol akses IP secara terprogram, Anda mungkin perlu menambahkan alamat IP untuk layanan portal Microsoft Azure ke properti ipRangeFilter untuk tetap menggunakan beberapa fungsi portal.
Skenario portal yang memerlukan pengaktifan opsi ini meliputi:
- Khusus untuk API untuk MongoDB atau API untuk Apache Cassandra, mengakses akun dengan Data Explorer atau https://cosmos.azure.com
- Untuk semua API, gunakan bagian Azure Cosmos DB berikut dalam portal Microsoft Azure:
- Telusuri Koleksi
- Power BI
- Azure Synapse
Anda dapat mengaktifkan permintaan untuk mengakses portal Azure dengan memilih opsi Tambahkan IP Middleware Portal Azure, seperti yang ditunjukkan pada cuplikan layar berikut:
Alamat IP Middleware portal Microsoft Azure ditambahkan ke daftar terpisah, seperti yang ditunjukkan pada cuplikan layar berikut. Pilih Simpan untuk menambahkan alamat ini ke akun database Anda. Detail selengkapnya tentang alamat IP Middleware dapat ditemukan lebih lanjut di artikel ini.
Alamat IP Middleware portal Microsoft Azure dapat dihapus dengan memilih opsi Hapus IP Middleware Portal Microsoft Azure lalu pilih Simpan.
Alamat IP Middleware portal Microsoft Azure
Alamat IP Middleware portal Microsoft Azure tercantum di sini. Beberapa alamat IP hanya diperlukan untuk API Akun Database tertentu. Saat Anda menambahkan Alamat IP Middleware di portal, seperti yang dijelaskan sebelumnya, hanya alamat IP yang diperlukan untuk akun Anda yang ditambahkan.
Contohnya:
- Untuk API untuk akun NoSQL, alamat IP dari semua kategori ditambahkan.
- Untuk API untuk akun MongoDB, alamat IP dari kategori Semua dan MongoDB saja yang ditambahkan.
Azure Public
| API Akun Database | Alamat IP |
|---|---|
| Semua |
13.91.105.215,4.210.172.107,13.88.56.148,40.91.218.243 |
| Hanya MongoDB |
20.245.81.54,40.118.23.126,40.80.152.199,13.95.130.121 |
| Apache Cassandra saja |
40.113.96.14,104.42.11.145,137.117.230.240,168.61.72.237 |
Azure dioperasikan oleh 21Vianet
| API Akun Database | Alamat IP |
|---|---|
| Semua |
163.228.137.6, 143.64.170.142 |
| Hanya MongoDB |
52.131.240.99, 143.64.61.130 |
| Apache Cassandra saja |
40.73.99.146, 143.64.62.47 |
Azure Pemerintah AS
| API Akun Database | Alamat IP |
|---|---|
| Semua |
52.247.163.6, 52.244.134.181 |
| Hanya MongoDB |
52.244.176.112, 52.247.148.42 |
| Apache Cassandra saja |
52.244.50.101, 52.227.165.24 |
Alamat IP Middleware Warisan
Layanan portal Cosmos DB baru-baru ini beralih ke infrastruktur baru yang memerlukan alamat IP Middleware baru. Dengan selesainya transisi tersebut, alamat IP warisan yang digunakan oleh infrastruktur lama sekarang dapat dihapus dengan aman. Jika akun Anda memiliki alamat IP Middleware warisan yang ada dalam aturan firewall, opsi Hapus IP Middleware Warisan Portal Microsoft Azure ditampilkan. Pilih opsi tersebut lalu Simpan untuk menghapus alamat IP warisan.
Alamat IP warisan bergantung pada lingkungan cloud:
| Lingkungan Azure | Alamat IP |
|---|---|
| Azure Public |
104.42.195.92, 40.76.54.13152.176.6.30, 52.169.50.45,52.187.184.26 |
| Azure dioperasikan oleh 21Vianet |
139.217.8.252,52.176.6.30,52.169.50.45,52.187.184.26 |
| Azure Pemerintah AS |
52.244.48.71,52.176.6.30,52.169.50.45,52.187.184.26 |
Catatan
Jika Anda mengalami tantangan saat menyambungkan ke akun Azure Cosmos DB Anda dari Data Explorer, tinjau panduan pemecahan masalah Data Explorer.
Izinkan permintaan dari pusat data Azure global atau sumber lainnya dalam Azure
Beberapa layanan Azure, seperti Azure Stream Analytics dan Azure Functions, tidak menggunakan alamat IP tetap. Anda masih dapat menggunakan firewall IP untuk mengontrol akses untuk layanan ini. Untuk mengizinkan akses dari sumber daya Azure lainnya, pilih opsi Terima koneksi dari dalam pusat data Azure . Opsi ini memungkinkan layanan yang berjalan di Azure terhubung ke akun Cosmos DB Anda.
Ketika Anda mengaktifkan opsi ini, alamat IP 0.0.0.0 ditambahkan ke daftar alamat IP yang diizinkan.
0.0.0.0 Alamat IP membatasi permintaan ke akun Azure Cosmos DB Anda dari rentang IP pusat data Azure. Pengaturan ini tidak mengizinkan akses untuk rentang IP lain ke akun Azure Cosmos DB Anda.
Catatan
Mengatur publicNetworkAccess ke Dinonaktifkan lebih diutamakan daripada opsi Terima koneksi dari dalam pusat data Azure . Lihat memblokir-public-network-access-during-account-creation
Catatan
Opsi ini mengonfigurasikan firewall untuk mengizinkan semua permintaan dari Azure, termasuk permintaan dari langganan pelanggan lain yang disebarkan di Azure. Daftar IP yang diizinkan oleh opsi ini luas, sehingga membatasi keefektifan kebijakan firewall. Gunakan opsi ini hanya jika permintaan Anda tidak berasal dari IP statis atau subnet di jaringan virtual. Memilih opsi ini secara otomatis memungkinkan akses dari portal Microsoft Azure karena portal Microsoft Azure diterapkan di Azure.
Permintaan dari IP Anda saat ini
Untuk menyederhanakan pengembangan, portal Microsoft Azure membantu mengidentifikasi dan menambahkan IP komputer klien Anda ke daftar yang diizinkan. Aplikasi yang menjalankan komputer Anda kemudian dapat mengakses akun Azure Cosmos DB Anda.
Portal secara otomatis mendeteksi alamat IP klien. Itu mungkin adalah alamat IP klien komputer Anda, atau alamat IP gateway jaringan Anda. Pastikan untuk menghapus alamat IP ini sebelum Anda membawa beban kerja Anda ke tahap produksi.
Untuk menambahkan IP Anda saat ini ke daftar IP, pilih Tambahkan IP Anda saat ini. Kemudian pilih Simpan.
Permintaan dari layanan awan
Di Azure, layanan awan adalah cara yang umum untuk menghosting logika layanan tingkat menengah dengan menggunakan Azure Cosmos DB. Untuk mengizinkan layanan awan tersambung ke akun Azure Cosmos DB Anda, tambahkan alamat IP publik layanan awan ke daftar IP yang diizinkan. Anda dapat melakukan operasi ini dengan memperbarui kebijakan kontrol akses IP di portal Microsoft Azure. Langkah ini memastikan bahwa semua instans peran layanan cloud memiliki akses ke akun Azure Cosmos DB Anda.
Anda dapat mengambil alamat IP untuk layanan awan Anda di portal Microsoft Azure, seperti yang diperlihatkan dalam tangkapan layar berikut:
Saat Anda menskalakan layanan awan dengan menambahkan instans peran, instans baru secara otomatis memiliki akses ke akun Azure Cosmos DB karena instans tersebut adalah bagian dari layanan cloud yang sama.
Permintaan dari komputer virtual
Anda juga dapat menggunakan komputer virtual atau set skala mesin virtual untuk menghosting layanan tingkat menengah dengan menggunakan Azure Cosmos DB. Untuk mengizinkan komputer virtual terhubung ke akun Azure Cosmos DB Anda, tambahkan alamat IP publiknya ke daftar yang diizinkan. Anda dapat melakukan langkah ini dengan memperbarui kebijakan kontrol akses IP. Konfigurasi ini juga berfungsi untuk set skala komputer virtual. Setelah Anda menambahkan alamat IP publik, komputer virtual dapat mengakses akun Cosmos DB Anda.
Anda dapat mengambil alamat IP untuk komputer virtual di portal Microsoft Azure, seperti yang ditunjukkan pada cuplikan layar berikut:
Saat Anda menambahkan instans komputer virtual ke grup, instans tersebut akan menerima akses secara otomatis ke akun Azure Cosmos DB Anda.
Permintaan dari internet
Untuk menyambungkan ke akun Azure Cosmos DB Anda dari komputer di internet, tambahkan alamat IP atau rentang IP komputer tersebut ke daftar yang diizinkan. Hanya komputer yang Anda tambahkan ke daftar ini yang dapat menjangkau akun Cosmos DB Anda.
Tambahkan aturan keluar ke firewall
Untuk mendapatkan daftar rentang IP keluar saat ini untuk ditambahkan ke pengaturan firewall Anda, lihat Mengunduh Rentang IP Azure dan Tag Layanan.
Untuk mengotomatiskan daftar, lihat Gunakan API Penemuan Service Tag.
Konfigurasikan firewall IP dengan menggunakan templat Resource Manager
Untuk menyiapkan kontrol akses untuk akun Azure Cosmos DB Anda, pastikan templat Resource Manager menentukan properti ipRules dengan array rentang IP yang diizinkan. Jika menyiapkan IP Firewall untuk akun Azure Cosmos DB yang sudah disebarkan, pastikan locations array cocok dengan penyebaran saat ini. Anda tidak dapat mengubah locations array dan properti lainnya secara bersamaan. Untuk informasi selengkapnya dan sampel templat Azure Resource Manager untuk Azure Cosmos DB, lihat Templat Azure Resource Manager untuk Azure Cosmos DB.
Penting
Properti ipRules diperkenalkan dengan versi 2020-04-01API . Versi sebelumnya menggunakan properti ipRangeFilter sebagai gantinya, yang merupakan daftar alamat IP yang dipisahkan koma.
Contoh menunjukkan bagaimana properti ipRules diekspos dalam API versi 2020-04-01 atau yang lebih baru:
{
"type": "Microsoft.DocumentDB/databaseAccounts",
"name": "[variables('accountName')]",
"apiVersion": "2020-04-01",
"location": "[parameters('location')]",
"kind": "GlobalDocumentDB",
"properties": {
"consistencyPolicy": "[variables('consistencyPolicy')[parameters('defaultConsistencyLevel')]]",
"locations": "[variables('locations')]",
"databaseAccountOfferType": "Standard",
"enableAutomaticFailover": "[parameters('automaticFailover')]",
"ipRules": [
{
"ipAddressOrRange": "13.91.105.215"
},
{
"ipAddressOrRange": "4.210.172.107"
},
{
"ipAddressOrRange": "13.88.56.148"
},
{
"ipAddressOrRange": "40.91.218.243"
}
]
}
}
Berikut adalah contoh yang sama untuk versi API apa pun yang lebih lama dari 2020-04-01:
{
"type": "Microsoft.DocumentDB/databaseAccounts",
"name": "[variables('accountName')]",
"apiVersion": "2019-08-01",
"location": "[parameters('location')]",
"kind": "GlobalDocumentDB",
"properties": {
"consistencyPolicy": "[variables('consistencyPolicy')[parameters('defaultConsistencyLevel')]]",
"locations": "[variables('locations')]",
"databaseAccountOfferType": "Standard",
"enableAutomaticFailover": "[parameters('automaticFailover')]",
"ipRangeFilter":"13.91.105.215,4.210.172.107,13.88.56.148,40.91.218.243"
}
}
Mengonfigurasi kebijakan kontrol akses IP menggunakan Azure CLI
Perintah berikut menunjukkan cara membuat akun Azure Cosmos DB dengan kontrol akses IP:
# Create an Azure Cosmos DB account with default values and IP firewall enabled
resourceGroupName='MyResourceGroup'
accountName='mycosmosaccount'
ipRangeFilter='192.168.221.17,183.240.196.255,40.76.54.131'
# Ensure there are no spaces in the comma-delimited list of IP addresses or CIDR ranges.
az cosmosdb create \
-n $accountName \
-g $resourceGroupName \
--locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
--locations regionName='East US 2' failoverPriority=1 isZoneRedundant=False \
--ip-range-filter $ipRangeFilter
Mengonfigurasi kebijakan kontrol akses IP menggunakan PowerShell
Skrip berikut menunjukkan cara membuat akun Azure Cosmos DB dengan kontrol akses IP:
# Create an Azure Cosmos DB account with default values and IP Firewall enabled
$resourceGroupName = "myResourceGroup"
$accountName = "mycosmosaccount"
$ipRules = @("192.168.221.17","183.240.196.255","40.76.54.131")
$locations = @(
@{ "locationName"="West US 2"; "failoverPriority"=0; "isZoneRedundant"=False },
@{ "locationName"="East US 2"; "failoverPriority"=1, "isZoneRedundant"=False }
)
# Make sure there are no spaces in the comma-delimited list of IP addresses or CIDR ranges.
$CosmosDBProperties = @{
"databaseAccountOfferType"="Standard";
"locations"=$locations;
"ipRules"=$ipRules
}
New-AzResource -ResourceType "Microsoft.DocumentDb/databaseAccounts" `
-ApiVersion "2020-04-01" -ResourceGroupName $resourceGroupName `
-Name $accountName -PropertyObject $CosmosDBProperties
Memecahkan masalah dengan kebijakan kontrol akses IP
Anda bisa memecahkan masalah dengan kebijakan kontrol akses IP dengan menggunakan opsi berikut:
portal Azure
Mengaktifkan kebijakan kontrol akses IP untuk akun Azure Cosmos DB Anda memblokir semua permintaan dari komputer di luar daftar rentang alamat IP yang diizinkan. Untuk mengaktifkan operasi bidang data portal seperti menelusuri kontainer dan mengkueri dokumen, izinkan akses portal Microsoft Azure secara eksplisit dengan menggunakan panel Firewall di portal.
Kit pengembangan perangkat lunak
Saat Anda mengakses sumber daya Azure Cosmos DB dengan menggunakan kit pengembangan perangkat lunak (SDK) dari komputer yang tidak ada dalam daftar yang diizinkan, respons terlarang 403 generik dikembalikan tanpa detail tambahan. Periksa daftar IP yang diizinkan untuk akun Anda, dan pastikan konfigurasi kebijakan yang benar diterapkan ke akun Azure Cosmos DB Anda.
IP Sumber dalam permintaan yang diblokir
Lihat setiap permintaan dan respons dengan mengaktifkan pembuatan log diagnostik di akun Azure Cosmos DB Anda. Pesan terkait firewall dicatat dengan kode pengembalian 403. Dengan memfilter pesan ini, Anda dapat melihat IP sumber untuk permintaan yang diblokir. Lihat pembuatan log diagnostik Azure Cosmos DB.
Permintaan dari subnet dengan titik akhir layanan untuk Azure Cosmos DB diaktifkan
Permintaan dari subnet di jaringan virtual dengan titik akhir layanan untuk Azure Cosmos DB diaktifkan mengirim jaringan virtual dan identitas subnet ke akun Azure Cosmos DB. Permintaan ini tidak memiliki IP publik sumber, sehingga filter IP menolaknya. Untuk mengizinkan akses dari subnet tertentu di jaringan virtual, tambahkan daftar kontrol akses seperti yang diuraikan dalam Cara mengonfigurasikan jaringan virtual dan akses berbasis subnet untuk akun Azure Cosmos DB Anda. Diperlukan waktu hingga 15 menit agar aturan firewall diterapkan dan firewall dapat menunjukkan perilaku yang tidak konsisten selama periode ini.
Alamat IP privat dalam daftar alamat yang diperbolehkan
Membuat atau memperbarui akun Azure Cosmos DB dengan daftar alamat yang diizinkan yang berisi alamat IP privat gagal. Pastikan bahwa tidak ada alamat IP pribadi yang ditentukan dalam daftar.