Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Cosmos DB in Microsoft Fabric è un database NoSQL ottimizzato per l'intelligenza artificiale configurato automaticamente per esigenze di sviluppo tipiche con un'esperienza di gestione semplificata. Fabric offre sicurezza, controllo di accesso e monitoraggio predefiniti per Cosmos DB in Fabric. Anche se Fabric offre funzionalità di sicurezza predefinite per proteggere i dati, è essenziale seguire le procedure consigliate per migliorare ulteriormente la sicurezza dell'account, dei dati e delle configurazioni di rete.
Questo articolo fornisce indicazioni su come proteggere al meglio Cosmos DB nella distribuzione di Fabric.
Gestione delle identità
Usare le identità gestite per accedere all'account da altri servizi di Azure: le identità gestite eliminano la necessità di gestire le credenziali fornendo un'identità gestita automaticamente in Microsoft Entra ID. Usare le identità gestite per accedere in modo sicuro a Cosmos DB da altri servizi di Azure senza incorporare le credenziali nel codice. Anche se Cosmos DB in Fabric supporta più tipi di tipi di identità (entità servizio), le identità gestite sono la scelta preferita perché non richiedono la soluzione di gestire direttamente le credenziali. Per altre informazioni, vedere Eseguire l'autenticazione dai servizi host di Azure.
Usare l'autenticazione Entra per eseguire query, creare e accedere agli elementi all'interno di un contenitore durante lo sviluppo di soluzioni: accedere agli elementi all'interno dei contenitori di Cosmos DB usando l'identità umana e l'autenticazione di Microsoft Entra. Applicare l'accesso con privilegi minimi per l'esecuzione di query, la creazione di risorse e per altre operazioni. Questo controllo consente di proteggere le operazioni dei dati. Per altre informazioni, vedere Connettersi in modo sicuro dall'ambiente di sviluppo.
Separare le identità di Azure usate per l'accesso ai dati e al piano di controllo: usare identità di Azure distinte per le operazioni del piano di controllo e del piano dati per ridurre il rischio di escalation dei privilegi e garantire un migliore controllo di accesso. Questa separazione migliora la sicurezza limitando l'ambito di ogni identità. Per altre informazioni, vedere Configurare l'autorizzazione.
Autorizzazioni utente
- Configurare l'accesso meno permissivo all'area di lavoro di Fabric: Le autorizzazioni utente vengono applicate in base al livello corrente di accesso all'area di lavoro. Se un utente viene rimosso dall'area di lavoro Infrastruttura, perde automaticamente anche l'accesso al database Cosmos DB associato e ai dati sottostanti. Per ulteriori informazioni, vedere Modello di autorizzazioni di Fabric.
Considerazioni sul contesto di esecuzione e sull'identità
Comprendere l'identità di esecuzione dei notebook: quando si lavora con i notebook nelle aree di lavoro di Fabric, tenere presente che gli artefatti di Fabric vengono sempre eseguiti con l'identità dell'utente che li ha creati, indipendentemente da chi esegue. Ciò significa che le autorizzazioni di accesso ai dati e le tracce di audit rifletteranno l'identità dell'autore del notebook, non quella dell'esecutore. Pianificare la creazione e la strategia di condivisione dei notebook di conseguenza per garantire i controlli di accesso appropriati.
Pianificare le limitazioni di Workspace Identity: attualmente Fabric non supporta la funzionalità con Workspace Identity. Le operazioni verranno eseguite con l'identità dell'utente che li ha creati anziché con un'identità dell'area di lavoro condivisa. Si consideri questa situazione quando si progettano scenari multiutente e si garantisce che gli utenti appropriati creino elementi che verranno condivisi all'interno dell'area di lavoro.