Microsoft Fabric の Cosmos DB は、一般的な開発ニーズに合わせて自動的に構成され、管理エクスペリエンスが簡素化された AI 最適化 NoSQL データベースです。 Fabric は、Fabric の Cosmos DB の組み込みのセキュリティ、アクセス制御、および監視を提供します。 Fabric には、データを保護するための組み込みのセキュリティ機能が用意されていますが、ベスト プラクティスに従って、アカウント、データ、ネットワーク構成のセキュリティをさらに強化することが不可欠です。
この記事では、Fabric デプロイで Cosmos DB を最適にセキュリティで保護する方法に関するガイダンスを提供します。
ID 管理
マネージド ID を使用して他の Azure サービスからアカウントにアクセスする: マネージド ID では、Microsoft Entra ID で自動的にマネージド ID を提供することで、資格情報を管理する必要がなくなります。 マネージド ID を使用して、コードに資格情報を埋め込まずに、他の Azure サービスから Cosmos DB に安全にアクセスします。 Fabric の Cosmos DB では複数の種類の ID の種類 (サービス プリンシパル) がサポートされていますが、資格情報を直接処理するソリューションは必要ないので、マネージド ID をお勧めします。 詳細については、 Azure ホスト サービスからの認証に関するページを参照してください。
Entra 認証を使用して、コンテナー内の項目のクエリ、作成、アクセスを行い、ソリューションを開発します。人間の ID と Microsoft Entra 認証を使用して Cosmos DB コンテナー内の項目にアクセスします。 クエリ、作成、およびその他の操作に対して最小限の特権アクセスを適用します。 この制御は、データ操作をセキュリティで保護するのに役立ちます。 詳細については、「 開発環境から安全に接続する」を参照してください。
データとコントロール プレーンのアクセスに使用される Azure ID を分離する: コントロール プレーンとデータ プレーンの操作に個別の Azure ID を使用して、特権エスカレーションのリスクを軽減し、アクセス制御を強化します。 この分離により、各 ID のスコープを制限することでセキュリティが強化されます。 詳細については、承認の 構成を参照してください。
ユーザーのアクセス許可
- 最小制限のファブリック ワークスペース アクセスを構成する: ユーザーのアクセス許可は、現在のワークスペース アクセス レベルに基づいて適用されます。 ユーザーが Fabric ワークスペースから削除されると、関連付けられている Cosmos DB データベースと基になるデータへのアクセスも自動的に失われます。 詳細については、「 Fabric アクセス許可モデル」を参照してください。
実行コンテキストと ID に関する考慮事項
ノートブックの実行 ID を理解する: Fabric ワークスペースでノートブックを操作する場合、Fabric アーティファクトは、実行者に関係なく、作成したユーザーの ID で常に実行されます。 つまり、データ アクセスのアクセス許可と監査証跡には、Executor の ID ではなくノートブック作成者の ID が反映されます。 適切なアクセス制御を確保するために、それに応じてノートブックの作成と共有の戦略を計画します。
ワークスペース ID の制限事項を計画する: 現時点では、Fabric ではワークスペース ID での
run-as機能はサポートされていません。 操作は、共有ワークスペース ID ではなく、作成したユーザーの ID を使用して実行されます。 マルチユーザー シナリオを設計するときにこれを考慮し、適切なユーザーがワークスペース内で共有される成果物を作成することを確認します。