Udostępnij za pośrednictwem

Wskazówki dotyczące zabezpieczeń usługi Azure Cosmos DB dla języka Apache Gremlin

  • Artykuł

DOTYCZY: Gremlin

Podczas pracy z usługą Azure Cosmos DB dla języka Gremlin ważne jest, aby autoryzowani użytkownicy i aplikacje mieli dostęp do danych, uniemożliwiając niezamierzony lub nieautoryzowany dostęp.

Chociaż używanie kluczy i poświadczeń hasła właściciela zasobu może wydawać się wygodną opcją, nie jest zalecane z kilku powodów. Po pierwsze, te metody nie mają niezawodności i elastyczności zapewnianych przez uwierzytelnianie firmy Microsoft Entra. Firma Microsoft Entra oferuje ulepszone funkcje zabezpieczeń, takie jak uwierzytelnianie wieloskładnikowe i zasady dostępu warunkowego, co znacznie zmniejsza ryzyko nieautoryzowanego dostępu. Korzystając z firmy Microsoft Entra, można znacznie zwiększyć poziom zabezpieczeń aplikacji i chronić poufne dane przed potencjalnymi zagrożeniami.

Zarządzanie dostępem

Kontrola dostępu oparta na rolach przy użyciu firmy Microsoft Entra umożliwia zarządzanie użytkownikami, urządzeniami lub obciążeniami, które mogą uzyskiwać dostęp do danych i w jakim zakresie mogą uzyskiwać dostęp do tych danych. Użycie precyzyjnych uprawnień w definicji roli zapewnia elastyczność wymuszania podmiotu zabezpieczeń "najmniejszych uprawnień" przy jednoczesnym zachowaniu prostego i usprawnionego dostępu do danych na potrzeby programowania.

Udzielanie dostępu w środowisku produkcyjnym

W aplikacjach produkcyjnych firma Microsoft Entra oferuje wiele typów tożsamości, w tym między innymi:

  • Tożsamości obciążeń dla określonych obciążeń aplikacji
  • Tożsamości zarządzane przypisane przez system natywne dla usługi platformy Azure
  • Tożsamości zarządzane przypisane przez użytkownika, które mogą być elastycznie używane między wieloma usługami platformy Azure
  • Jednostki usługi dla niestandardowych i bardziej zaawansowanych scenariuszy
  • Tożsamości urządzeń dla obciążeń brzegowych

Dzięki tym tożsamościom można udzielić określonych aplikacji produkcyjnych lub obciążeń szczegółowego dostępu do zapytań, odczytu lub manipulowania zasobami w usłudze Azure Cosmos DB.

Udzielanie dostępu w programowania

W ramach programowania firma Microsoft Entra oferuje ten sam poziom elastyczności dla tożsamości ludzkich deweloperów. Możesz użyć tych samych definicji kontroli dostępu opartej na rolach i technik przypisywania, aby udzielić deweloperom dostępu do kont testowych, przejściowych lub programistycznych baz danych.

Twój zespół ds. zabezpieczeń ma jeden zestaw narzędzi do zarządzania tożsamościami i uprawnieniami dla kont we wszystkich środowiskach.

Usprawnij kod uwierzytelniania

Za pomocą zestawu Azure SDK techniki używane do uzyskiwania dostępu do danych usługi Azure Cosmos DB programowo w wielu różnych scenariuszach:

  • Jeśli aplikacja jest w środowisku deweloperskim lub produkcyjnym
  • Jeśli używasz tożsamości człowieka, obciążenia, zarządzanego lub urządzenia
  • Jeśli Twój zespół preferuje korzystanie z interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell, interfejsu wiersza polecenia dla deweloperów platformy Azure, programu Visual Studio lub programu Visual Studio Code
  • Jeśli twój zespół korzysta z języków Python, JavaScript, TypeScript, .NET, Go lub Java

Zestaw Azure SDK udostępnia bibliotekę tożsamości zgodną z wieloma platformami, językiem programowania i technikami uwierzytelniania. Gdy dowiesz się, jak włączyć uwierzytelnianie firmy Microsoft Entra, technika pozostaje taka sama we wszystkich scenariuszach. Nie ma potrzeby tworzenia odrębnych stosów uwierzytelniania dla każdego środowiska.