Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Cosmos DB no Microsoft Fabric é um banco de dados NoSQL com otimização de IA configurado automaticamente para necessidades típicas de desenvolvimento com uma experiência de gerenciamento simplificada. O Fabric fornece segurança interna, controle de acesso e monitoramento para o Cosmos DB no Fabric. Embora o Fabric forneça recursos de segurança internos para proteger seus dados, é essencial seguir as práticas recomendadas para aprimorar ainda mais a segurança de sua conta, dados e configurações de rede.
Este artigo fornece diretrizes sobre como proteger melhor o Cosmos DB na implantação do Fabric.
Gerenciamento de identidades
Use identidades gerenciadas para acessar sua conta de outros serviços do Azure: as identidades gerenciadas eliminam a necessidade de gerenciar credenciais fornecendo uma identidade gerenciada automaticamente na ID do Microsoft Entra. Use identidades gerenciadas para acessar com segurança o Cosmos DB de outros serviços do Azure sem inserir credenciais em seu código. Embora o Cosmos DB no Fabric dê suporte a vários tipos de tipos de identidade (entidades de serviço), as identidades gerenciadas são a opção preferida, pois não exigem que sua solução trate as credenciais diretamente. Para obter mais informações, consulte a autenticação dos serviços de host do Azure.
Use a autenticação do Microsoft Entra para consultar, criar e acessar itens em um container ao desenvolver soluções: Acesse itens em containers do Cosmos DB usando sua identidade pessoal e autenticação do Microsoft Entra. Aplique o princípio do menor privilégio para consulta, criação e outras operações. Esse controle ajuda a proteger suas operações de dados. Para obter mais informações, consulte conectar-se com segurança do seu ambiente de desenvolvimento.
Separe as identidades do Azure usadas para acesso a dados e plano de controle: use identidades distintas do Azure para operações de plano de controle e plano de dados para reduzir o risco de escalonamento de privilégios e garantir um melhor controle de acesso. Essa separação aprimora a segurança limitando o escopo de cada identidade. Para obter mais informações, consulte configurar a autorização.
Permissões de usuário
- Configurar o acesso ao workspace do Fabric com o menor nível de permissões: as permissões do usuário são determinadas com base no nível atual de acesso ao workspace. Se um usuário for removido do workspace do Fabric, ele também perderá automaticamente o acesso ao banco de dados do Cosmos DB associado e aos dados subjacentes. Para obter mais informações, consulte o modelo de permissão do Fabric.
Considerações de contexto de execução e identidade
Entenda a identidade de execução do notebook: ao trabalhar com notebooks em workspaces do Fabric, lembre-se de que os artefatos do Fabric sempre são executados com a identidade do usuário que os criou, independentemente de quem executa. Isso significa que as permissões de acesso a dados e as trilhas de auditoria refletirão a identidade do criador do notebook, não a identidade do executor. Planeje a estratégia de criação e compartilhamento do bloco de anotações adequadamente para garantir os controles de acesso apropriados.
Planejar as limitações de identidade do workspace: atualmente, o Fabric não dá suporte
run-asà funcionalidade com a Identidade do Workspace. As operações são executadas com a identidade do usuário que as criou em vez de uma identidade de workspace compartilhada. Considere isso ao projetar cenários de vários usuários e garantir que os usuários apropriados criem artefatos que serão compartilhados dentro do workspace.