Melindungi sumber daya Azure Cosmos DB dengan kunci

Artikel
02/10/2024

BERLAKU UNTUK: NoSQL MongoDB Cassandra Gremlin Meja

Sebagai administrator, Anda mungkin perlu mengunci akun, database, atau kontainer Azure Cosmos DB. Kunci mencegah pengguna lain dalam organisasi menghapus atau memodifikasi sumber daya penting secara tidak sengaja. Anda dapat mengatur tingkat penguncian ke CanNotDelete atau ReadOnly.

Tingkat	Deskripsi
`CanNotDelete`	Pengguna yang berwenang masih dapat membaca dan memodifikasi sumber daya, tetapi mereka tidak dapat menghapus sumber daya.
`ReadOnly`	Pengguna yang berwenang dapat membaca sumber daya, tetapi mereka tidak dapat menghapus atau memperbarui sumber daya. Menerapkan kunci ini mirip dengan membatasi semua pengguna yang berwenang pada izin yang diberikan oleh peran Pembaca.

Prasyarat

Akun Azure Cosmos DB yang sudah ada.
- Jika Anda memiliki langganan Azure, buat akun baru.
- Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
- Atau, Anda dapat mencoba Azure Cosmos DB gratis sebelum berkomitmen.

Cara kunci diterapkan

Saat Anda menerapkan kunci pada lingkup induk, semua sumber daya dalam lingkup tersebut menerapkan kunci yang sama. Bahkan, sumber daya yang Anda tambahkan nanti juga akan menerapkan kunci dari induk. Kunci yang paling ketat dalam warisan lebih diutamakan.

Tidak seperti kontrol akses berbasis peran Azure, kunci manajemen berguna untuk menerapkan pembatasan pada seluruh pengguna dan peran.

Kunci Resource Manager hanya berlaku untuk operasi yang terjadi di bidang manajemen, yang terdiri dari operasi yang dikirim ke https://management.azure.com. Kunci tidak membatasi bagaimana sumber daya menjalankan fungsinya sendiri. Perubahan sumber daya dibatasi, tetapi operasi sumber daya tidak dibatasi. Misalnya, kunci ReadOnly pada kontainer Azure Cosmos DB mencegah Anda menghapus atau memodifikasi kontainer. Namun, Anda tetap dapat membuat, memperbarui, atau menghapus data dalam kontainer. Transaksi data diizinkan karena operasi tersebut tidak dikirim ke https://management.azure.com.

Mengelola kunci

Kunci sumber daya tidak berfungsi untuk perubahan yang dilakukan oleh pengguna yang mengakses Azure Cosmos DB menggunakan kunci akun kecuali akun Azure Cosmos DB pertama kali dikunci dengan mengaktifkan disableKeyBasedMetadataWriteAccess properti . Pastikan properti ini tidak merusak aplikasi yang ada yang membuat perubahan pada sumber daya menggunakan SDK, portal Azure, atau alat pihak ketiga apa pun. Mengaktifkan properti ini merusak aplikasi yang terhubung melalui kunci akun untuk memodifikasi sumber daya. Modifikasi ini dapat mencakup perubahan throughput, memperbarui kebijakan indeks, dll.

PowerShell
Azure CLI

$RESOURCE_GROUP_NAME = "<resource-group>"
$ACCOUNT_NAME = "<account-name>"
$LOCK_NAME = "$ACCOUNT_NAME-lock"

Pertama, perbarui akun untuk mencegah perubahan oleh apa pun yang terhubung melalui kunci akun.

$parameters = @{
    Name = $ACCOUNT_NAME
    ResourceGroupName = $RESOURCE_GROUP_NAME
    DisableKeyBasedMetadataWriteAccess = true
}
Update-AzCosmosDBAccount @parameters

Buat Kunci Hapus pada sumber daya akun Azure Cosmos DB dan semua sumber daya anak.

$parameters = @{
    ResourceGroupName = $RESOURCE_GROUP_NAME
    ResourceName = $ACCOUNT_NAME
    LockName = $LOCK_NAME
    ApiVersion = "2020-04-01"
    ResourceType = "Microsoft.DocumentDB/databaseAccounts"
    LockLevel = "CanNotDelete"
}
New-AzResourceLock @parameters

resourceGroupName='<resource-group>'
accountName='<account-name>'
lockName="$accountName-Lock"

Pertama, perbarui akun untuk mencegah perubahan oleh apa pun yang terhubung melalui kunci akun.

az cosmosdb update \
    --resource-group $resourceGroupName  \
    --name $accountName \
    --disable-key-based-metadata-write-access true

Membuat Kunci Penghapusan pada sumber daya akun Azure Cosmos DB

az lock create \
    --resource-group $resourceGroupName  \
    --name $lockName \
    --lock-type 'CanNotDelete' \
    --resource-type Microsoft.DocumentDB/databaseAccount \
    --resource $accountName

Templat

Saat menerapkan kunci ke sumber daya Azure Cosmos DB, gunakan sumber daya Microsoft.Authorization/locks Azure Resource Manager (ARM).

JSON
Bicep

{
  "type": "Microsoft.Authorization/locks",
  "apiVersion": "2017-04-01",
  "name": "cosmoslock",
  "dependsOn": [
    "[resourceId('Microsoft.DocumentDB/databaseAccounts', parameters('accountName'))]"
  ],
  "properties": {
    "level": "CanNotDelete",
    "notes": "Do not delete Azure Cosmos DB account."
  },
  "scope": "[resourceId('Microsoft.DocumentDB/databaseAccounts', parameters('accountName'))]"
}

resource lock 'Microsoft.Authorization/locks@2017-04-01' = {
  name: 'cosmoslock'
  scope: account
  properties: {
    level: 'CanNotDelete'
    notes: 'Do not delete Azure Cosmos DB API for NoSQL account.'
  }
}

Sampel

Mengelola kunci sumber daya untuk Azure Cosmos DB:

API untuk keyspace Cassandra dan tabel Azure CLI | Azure PowerShell
API untuk database Gremlin dan grafik Azure CLI | Azure PowerShell
API untuk database MongoDB dan pengumpulan Azure CLI| Azure PowerShell
API untuk database NoSQL dan kontainer Azure CLI | Azure PowerShell
API untuk tabel Tabel Azure CLI | Azure PowerShell

Langkah berikutnya

Gambaran umum Kunci Azure Resource Manager

Sumber Daya Tambahan:

Dokumentasi

Operasi kunci sumber daya Azure Cosmos DB for Table

Gunakan Azure CLI untuk membuat, mencantumkan, memperlihatkan properti untuk, dan menghapus kunci sumber daya untuk tabel Azure Cosmos DB for Table.
Kode Status HTTP untuk Azure Cosmos DB

Status HTTP dan kode sub-status saat menggunakan Azure Cosmos DB dengan REST API.
Cara mengaudit operasi sarana kontrol Microsoft Azure Cosmos DB

Mempelajari cara mengaudit operasi sarana kontrol seperti menambahkan wilayah, memperbarui throughput, failover wilayah, menambahkan VNet, dll. di Microsoft Azure Cosmos DB
Bekerja dengan kunci akun untuk akun Azure Cosmos DB

Bekerja dengan kunci akun dan string koneksi untuk akun Azure Cosmos DB termasuk mencantumkan dan meregenerasi
Mengelola akun Azure Cosmos DB dengan menggunakan portal Azure

Pelajari cara mengelola sumber daya Azure Cosmos DB dengan menggunakan templat portal Azure, PowerShell, CLI, dan Azure Resource Manager.
Membuat kunci sumber daya untuk azure Cosmos DB untuk database dan kontainer NoSQL

Membuat kunci sumber daya untuk azure Cosmos DB untuk database dan kontainer NoSQL
Mendiagnosis dan memecahkan masalah ketersediaan SDK Azure Cosmos DB di lingkungan multiregional

Pelajari semua tentang perilaku ketersediaan Azure Cosmos DB SDK saat beroperasi di lingkungan multi regional.

Pelatihan

Modul

Menerapkan keamanan di Azure Cosmos DB untuk NoSQL - Training

Kita akan mempelajari berbagai model keamanan yang digunakan Azure Cosmos DB.

Sertifikasi

Bersertifikat Microsoft: Spesialisasi Pengembang Azure Cosmos DB - Certifications

Tulis kueri yang efisien, buat kebijakan pengindeksan, kelola, dan provisikan sumber daya di SQL API dan SDK dengan Microsoft Azure Cosmos DB.

Festival Keterampilan AI

Bagikan melalui