Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of mappen te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen om mappen te wijzigen.
Cosmos DB in Microsoft Fabric is een voor AI geoptimaliseerde NoSQL-database die automatisch is geconfigureerd voor typische ontwikkelingsbehoeften met een vereenvoudigde beheerervaring. Fabric biedt ingebouwde beveiliging, toegangsbeheer en bewaking voor Cosmos DB in Fabric. Hoewel Fabric ingebouwde beveiligingsfuncties biedt om uw gegevens te beschermen, is het essentieel om best practices te volgen om de beveiliging van uw account, gegevens en netwerkconfiguraties verder te verbeteren.
Dit artikel bevat richtlijnen voor het beveiligen van uw Cosmos DB in Fabric-implementatie.
Identiteitsbeheer
Gebruik beheerde identiteiten om toegang te krijgen tot uw account vanuit andere Azure-services: Beheerde identiteiten elimineren de noodzaak om referenties te beheren door een automatisch beheerde identiteit in Microsoft Entra-id op te geven. Gebruik beheerde identiteiten om veilig toegang te krijgen tot Cosmos DB vanuit andere Azure-services zonder referenties in uw code in te sluiten. Hoewel Cosmos DB in Fabric ondersteuning biedt voor meerdere typen identiteiten (service-principals), hebben beheerde identiteiten de voorkeur omdat ze uw oplossing niet nodig hebben om referenties rechtstreeks te verwerken. Zie verificatie van Azure-hostservices voor meer informatie.
Gebruik Entra-verificatie om items in een container op te vragen, te maken en te openen tijdens het ontwikkelen van oplossingen: Toegang tot items in Cosmos DB-containers met behulp van uw menselijke identiteit en Microsoft Entra-verificatie. Dwing toegang tot minimale bevoegdheden af voor het uitvoeren van query's, het maken en andere bewerkingen. Met dit besturingselement kunt u uw gegevensbewerkingen beveiligen. Zie veilig verbinding maken vanuit uw ontwikkelomgeving voor meer informatie.
Scheid de Azure-identiteiten die worden gebruikt voor toegang tot gegevens- en besturingsvlak: gebruik afzonderlijke Azure-identiteiten voor besturingsvlak- en gegevensvlakbewerkingen om het risico op escalatie van bevoegdheden te verminderen en betere toegangsbeheer te garanderen. Deze scheiding verbetert de beveiliging door het bereik van elke identiteit te beperken. Zie Autorisatie configureren voor meer informatie.
Gebruikersmachtigingen
- Minst beperkende toegang tot Fabric-werkruimten configureren: De gebruikersrechten worden afgedwongen op basis van het huidige niveau van toegang tot de werkruimte. Als een gebruiker uit de infrastructuurwerkruimte wordt verwijderd, verliest deze ook automatisch de toegang tot de bijbehorende Cosmos DB-database en onderliggende gegevens. Zie Fabric-machtigingsmodel voor meer informatie.
Overwegingen voor uitvoeringscontext en identiteit
Inzicht in de uitvoeringsidentiteit van notebooks: wanneer u werkt met notebooks in Fabric-werkruimten, moet u er rekening mee houden dat Fabric-artefacten altijd worden uitgevoerd met de identiteit van de gebruiker die ze heeft gemaakt, ongeacht wie deze uitvoert. Dit betekent dat machtigingen voor gegevenstoegang en audittrails de identiteit van de maker van het notitieblok weerspiegelen, niet de identiteit van de uitvoerder. Plan uw strategie voor het maken en delen van notitieblokken dienovereenkomstig om de juiste toegangsbeheer te garanderen.
Plannen voor beperkingen voor werkruimte-identiteiten: Fabric biedt momenteel geen ondersteuning voor
run-asfunctionaliteit met werkruimte-identiteit. Bewerkingen worden uitgevoerd met de identiteit van de gebruiker die deze heeft gemaakt in plaats van een gedeelde werkruimte-identiteit. Houd er rekening mee wanneer u scenario's voor meerdere gebruikers ontwerpt en ervoor zorgt dat de juiste gebruikers artefacten maken die binnen de werkruimte worden gedeeld.