Primaire, secundaire, lees- of lees-schrijfsleutels verkrijgen in Azure Cosmos DB

VAN TOEPASSING OP: NoSQL MongoDB Cassandra Gremlin Tafel

Primaire/secundaire sleutels bieden toegang tot alle beheerbronnen voor het databaseaccount. Primaire/secundaire sleutels:

• Toegang bieden tot accounts, databases, gebruikers en machtigingen.
• Kan niet worden gebruikt om gedetailleerde toegang te bieden tot containers en documenten.
• Worden gemaakt tijdens het maken van een account.
• Kan op elk gewenst moment opnieuw worden gegenereerd.

Belangrijk

Microsoft raadt u aan de veiligste verificatiestroom te gebruiken die beschikbaar is. De verificatiestroom die in deze procedure wordt beschreven, vereist een zeer hoge mate van vertrouwen in de toepassing en brengt risico's met zich mee die niet aanwezig zijn in andere stromen. U moet deze stroom alleen gebruiken wanneer andere veiligere stromen, zoals beheerde identiteiten, niet haalbaar zijn.

Voor Azure Cosmos DB is Microsoft Entra-verificatie het veiligste verificatiemechanisme dat beschikbaar is. Bekijk de juiste beveiligingshandleiding voor uw API:

• Azure Cosmos DB voor NoSQL

Elk account bestaat uit twee sleutels: een primaire sleutel en een secundaire sleutel. Het doel van dubbele sleutels is dat u sleutels opnieuw kunt genereren of samenrollen, zodat u doorlopende toegang tot uw account en gegevens kunt bieden.

Primaire/secundaire sleutels zijn beschikbaar in twee versies: lezen/schrijven en alleen-lezen. De alleen-lezensleutels staan alleen leesbewerkingen voor het account toe. Ze bieden geen toegang tot leesmachtigingsbronnen.

Vereisten

• Een bestaand Azure Cosmos DB-account

Uw primaire sleutel ophalen

De primaire sleutel kan zich meestal bevinden met behulp van Azure Portal of via automatisering.

Azure-portal

Gebruik Azure Portal om een van de vier ingebouwde sleutels op te halen:

• Primaire lees-schrijfbewerking
• Primair alleen-lezen
• Secundaire lees-schrijfbewerking
• Secundair alleen-lezen

1. Meld u aan bij Azure Portal (https://portal.azure.com).

2. Navigeer naar uw bestaande Azure Cosmos DB-account.

3. Selecteer sleutels in het deelvenster Accountresource in de sectie Instellingen van het servicemenu.

4. Zoek en noteer de waarde van de velden Primaire sleutel of Secundaire sleutel in de sectie Alleen-lezen sleutels of alleen-lezen.

   Tip

   Mogelijk moet u de sleutels weergeven voordat u de waarden opneemt. Standaard zijn de sleutels verborgen.

Azure-CLI

Gebruik dit Azure CLI-script om sleutels of verbindingsreeks s op te halen uit uw Azure Cosmos DB-account.

az cosmosdb keys list \
    --resource-group "<name-of-existing-resource-group>" \
    --name "<name-of-existing-account>" \
    --type "keys"

Waarschuwing

Azure CLI geeft een waarschuwing weer dat het uitvoeren van uw geheimen de beveiliging voor uw account kan schenden.

--type argumentopties zijn onder andere:

• connection-strings
• keys
• read-only-keys

Zie az cosmosdb keys list voor meer informatie.

Azure PowerShell

Gebruik dit Azure PowerShell-script om sleutels of verbindingsreeks s op te halen uit uw Azure Cosmos DB-account.

$parameters = @{
    ResourceGroupName = "<name-of-existing-resource-group>"
    Name = "<name-of-existing-account>"
    Type = "Keys"
}
Get-AzCosmosDBAccountKey @parameters

Type Parameteropties zijn onder andere:

• ConnectionStrings
• Keys
• ReadOnlyKeys

Zie Get-AzCosmosDBAccountKey voor meer informatie.

Bicep

In dit voorbeeld worden alle referenties voor een bestaand Azure Cosmos DB-account uitgevoerd.

metadata description = 'Gets all keys and connection strings for an Azure Cosmos DB account.'

@description('The name of the Azure Cosmos DB account.')
param accountName string

resource account 'Microsoft.DocumentDB/databaseAccounts@2024-05-15' existing = {
  name: accountName
}

output endpoint string = account.properties.documentEndpoint

var keys = account.listKeys()

output keys object = {
  primary: {
    readWrite: keys.primaryMasterKey
    readOnly: keys.primaryReadonlyMasterKey
  }
  secondary: {
    readWrite: keys.secondaryMasterKey
    readOnly: keys.secondaryReadonlyMasterKey
  }
}

var connectionStrings = account.listConnectionStrings()

output connectionStrings object = {
  primary: {
    readWrite: connectionStrings.connectionStrings[0].connectionString
    readOnly: connectionStrings.connectionStrings[1].connectionString
  }
  secondary: {
    readWrite: connectionStrings.connectionStrings[2].connectionString
    readOnly: connectionStrings.connectionStrings[3].connectionString
  }
}

Waarschuwing

Deze Bicep-sjabloon activeert een linterwaarschuwing voor Bicep. In het ideale geval mogen bicep-sjablonen geen geheimen uitvoeren. In dit voorbeeld wordt deze linterwaarschuwing niet opzettelijk onderdrukt. Zie linter-regel voor meer informatie: uitvoer mag geen geheimen bevatten.

Gerelateerde inhoud

• Sleutelrotatie implementeren