Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Cosmos DB w usłudze Microsoft Fabric to zoptymalizowana pod kątem sztucznej inteligencji baza danych NoSQL automatycznie skonfigurowana pod kątem typowych potrzeb programistycznych z uproszczonym środowiskiem zarządzania. Fabric zapewnia wbudowane zabezpieczenia, kontrolę dostępu i monitorowanie dla Cosmos DB w Fabric. Platforma Fabric udostępnia wbudowane funkcje zabezpieczeń w celu ochrony danych, ale ważne jest, aby postępować zgodnie z najlepszymi praktykami, aby bardziej zwiększać bezpieczeństwo kont, danych i konfiguracji sieci.
Ten artykuł zawiera wskazówki dotyczące tego, jak najlepiej zabezpieczyć wdrożenie bazy Cosmos DB w systemie Fabric.
Zarządzanie tożsamościami
Użyj tożsamości zarządzanych, aby uzyskać dostęp do konta z innych usług platformy Azure: tożsamości zarządzane eliminują konieczność zarządzania poświadczeniami, zapewniając automatyczną tożsamość zarządzaną w usłudze Microsoft Entra ID. Użyj tożsamości zarządzanych, aby bezpiecznie uzyskać dostęp do usługi Cosmos DB z innych usług platformy Azure bez osadzania poświadczeń w kodzie. Chociaż Cosmos DB w Fabric obsługuje wiele typów tożsamości (tożsamości usługi), tożsamości zarządzane są preferowanym wyborem, ponieważ nie wymagają, aby rozwiązanie obsługiwało poświadczenia bezpośrednio. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie z usług hosta platformy Azure.
Uwierzytelnianie Entra umożliwia wykonywanie zapytań, tworzenie i uzyskiwanie dostępu do elementów w kontenerze podczas opracowywania rozwiązań: Uzyskiwanie dostępu do elementów w kontenerach usługi Cosmos DB przy użyciu tożsamości użytkownika i uwierzytelniania Microsoft Entra. Wymuszanie dostępu do najniższych uprawnień na potrzeby wykonywania zapytań, tworzenia i innych operacji. Ta kontrolka pomaga zabezpieczyć operacje na danych. Aby uzyskać więcej informacji, przeczytaj Jak bezpiecznie łączyć się ze środowiskiem programistycznym.
Rozdziel tożsamości platformy Azure używane na potrzeby dostępu do płaszczyzny danych i kontroli: używaj odrębnych tożsamości platformy Azure dla operacji płaszczyzny sterowania i płaszczyzny danych, aby zmniejszyć ryzyko eskalacji uprawnień i zapewnić lepszą kontrolę dostępu. Ta separacja zwiększa bezpieczeństwo, ograniczając zakres każdej tożsamości. Aby uzyskać więcej informacji, zobacz konfigurowanie autoryzacji.
Uprawnienia użytkownika
- Skonfiguruj jak najmniej uprawniony dostęp do obszaru roboczego Fabric: Uprawnienia użytkownika są egzekwowane na podstawie bieżącego poziomu dostępu do obszaru roboczego. Jeśli użytkownik zostanie usunięty z obszaru roboczego Fabric, automatycznie utraci dostęp do skojarzonej bazy danych usługi Cosmos DB i danych podrzędnych. Aby uzyskać więcej informacji, zobacz Model uprawnień Fabric.
Zagadnienia dotyczące środowiska wykonawczego i aspektów tożsamości
Zrozum tożsamość wykonywania notebooka: podczas pracy z notebookami w obszarach roboczych Fabric warto wiedzieć, że artefakty Fabric zawsze są wykonywane z tożsamością użytkownika, który je utworzył, niezależnie od tego, kto je wykonuje. Oznacza to, że uprawnienia dostępu do danych i rejestry audytów będą odzwierciedlać tożsamość autora notesu, a nie tożsamość osoby wykonującej. Zaplanuj strategię tworzenia i udostępniania notesu, aby zapewnić odpowiednie mechanizmy kontroli dostępu.
Planowanie ograniczeń tożsamości obszaru roboczego: Obecnie Fabric nie obsługuje
run-asfunkcjonalności z tożsamością obszaru roboczego. Operacje są wykonywane przy użyciu tożsamości użytkownika, który je utworzył, a nie tożsamości udostępnionego obszaru roboczego. Rozważ to podczas projektowania scenariuszy obejmujących wielu użytkowników i upewnij się, że odpowiedni użytkownicy tworzą artefakty, które będą współużytkowane w obszarze roboczym.