Proteger os recursos do Azure Cosmos DB com bloqueios

APLICA-SE AO: NoSQL MongoDB Cassandra Gremlin Table

Como administrador, pode ser necessário bloquear uma conta, um banco de dados ou um contêiner do Azure Cosmos DB. Bloqueios impedem que outros usuários na organização excluam ou modifiquem acidentalmente recursos fundamentais. Você pode definir o nível de bloqueio para CanNotDelete ou ReadOnly.

Nível	Descrição
CanNotDelete	Usuários autorizados ainda poderão ler e modificar um recurso, mas não poderão excluí-lo.
ReadOnly	Usuários autorizados poderão ler um recurso, mas não poderão excluir ou atualizar o recurso. Aplicar esse bloqueio é semelhante ao restringir todos os usuários autorizados para as permissões concedidas pela função Leitor.

Pré-requisitos

• Uma conta existente do Azure Cosmos DB.
  • Se você tiver uma assinatura do Azure, crie uma nova conta.
  • Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
  • Como alternativa, você pode experimentar o Azure Cosmos DB gratuitamente antes de confirmar.

Como os bloqueios são aplicados

Quando você aplica um bloqueio a um escopo pai, todos os recursos filho herdam o mesmo bloqueio. Até mesmo os recursos que você adiciona posteriormente herdam o bloqueio do pai. O bloqueio mais restritivo na herança terá precedência.

Ao contrário do controle de acesso baseado em função do Azure, é possível usar bloqueios de gerenciamento para aplicar uma restrição a todos os usuários e a todas as funções. Para saber mais sobre o controle de acesso baseado em função para o Azure Cosmos DB, consulte Controle de acesso baseado em função do Azure no Azure Cosmos DB.

Bloqueios do Resource Manager se aplicam apenas às operações que ocorrem no plano de gerenciamento, que consistem em operações enviadas para https://management.azure.com. Os bloqueios não restringem a maneira como os recursos executam suas próprias funções. Alterações de recursos são restritas, mas as operações de recursos não são. Por exemplo, um bloqueio ReadOnly em um contêiner do Azure Cosmos DB impede que você exclua ou modifique o contêiner. Ele não impede você de criar, atualizar ou excluir dados no contêiner. As transações de dados são autorizadas porque essas operações não são enviadas para https://management.azure.com.

Gerenciar bloqueios

Os bloqueios de recursos não funcionam para alterações feitas por usuários que acessam o Azure Cosmos DB usando chaves de conta, a menos que a conta do Azure Cosmos DB seja bloqueada primeiro habilitando a propriedade disableKeyBasedMetadataWriteAccess. Verifique se essa propriedade não interrompe os aplicativos existentes que fazem alterações nos recursos usando SDK, portal do Azure ou ferramentas de terceiros. Habilitar essa propriedade interrompe o funcionamento de aplicativos que se conectam por meio de chaves de conta para modificar recursos. Essas modificações podem incluir a alteração da taxa de transferência, atualização das políticas de índice etc. Para saber mais e percorrer uma lista de verificação para garantir que seus aplicativos continuem funcionando, confira como impedir alterações dos SDKs do Azure Cosmos DB

PowerShell

$RESOURCE_GROUP_NAME = "<resource-group>"
$ACCOUNT_NAME = "<account-name>"
$LOCK_NAME = "$ACCOUNT_NAME-lock"

Primeiro, atualize a conta para evitar que alterações sejam feitas devido a conexões por meio de chaves de conta.

$parameters = @{
    Name = $ACCOUNT_NAME
    ResourceGroupName = $RESOURCE_GROUP_NAME
    DisableKeyBasedMetadataWriteAccess = true
}
Update-AzCosmosDBAccount @parameters

Crie um bloqueio de exclusão em um recurso de conta do Azure Cosmos DB e em todos os recursos filho.

$parameters = @{
    ResourceGroupName = $RESOURCE_GROUP_NAME
    ResourceName = $ACCOUNT_NAME
    LockName = $LOCK_NAME
    ApiVersion = "2020-04-01"
    ResourceType = "Microsoft.DocumentDB/databaseAccounts"
    LockLevel = "CanNotDelete"
}
New-AzResourceLock @parameters

CLI do Azure

resourceGroupName='<resource-group>'
accountName='<account-name>'
lockName="$accountName-Lock"

Primeiro, atualize a conta para evitar que alterações sejam feitas devido a conexões por meio de chaves de conta.

az cosmosdb update \
    --resource-group $resourceGroupName  \
    --name $accountName \
    --disable-key-based-metadata-write-access true

Criar um bloqueio de exclusão em um recurso de conta do Azure Cosmos

az lock create \
    --resource-group $resourceGroupName  \
    --name $lockName \
    --lock-type 'CanNotDelete' \
    --resource-type Microsoft.DocumentDB/databaseAccount \
    --resource $accountName

Modelo

Ao aplicar um bloqueio a um recurso do Azure Cosmos DB, use o recurso Microsoft.Authorization/locks do ARM (Azure Resource Manager).

JSON

{
  "type": "Microsoft.Authorization/locks",
  "apiVersion": "2017-04-01",
  "name": "cosmoslock",
  "dependsOn": [
    "[resourceId('Microsoft.DocumentDB/databaseAccounts', parameters('accountName'))]"
  ],
  "properties": {
    "level": "CanNotDelete",
    "notes": "Do not delete Azure Cosmos DB account."
  },
  "scope": "[resourceId('Microsoft.DocumentDB/databaseAccounts', parameters('accountName'))]"
}

Bicep

resource lock 'Microsoft.Authorization/locks@2017-04-01' = {
  name: 'cosmoslock'
  scope: account
  properties: {
    level: 'CanNotDelete'
    notes: 'Do not delete Azure Cosmos DB API for NoSQL account.'
  }
}

Exemplos

Gerenciar bloqueios de recursos para o Azure Cosmos DB:

• Keyspace e tabela da API do Cassandra CLI do Azure | Azure PowerShell
• Grafo e banco de dados da API do Gremlin CLI do Azure | Azure PowerShell
• Coleção e banco de dados da API do MongoDB CLI do Azure| Azure PowerShell
• Contêiner e banco de dados da API do NoSQL CLI do Azure | Azure PowerShell
• Tabela da API de Tabela CLI do Azure | Azure PowerShell

Próximas etapas

Visão geral do Bloqueio do Azure Resource Manager