Usar o controlo de acesso com base em funções do plano de controlo com o Azure Cosmos DB para bases de dados NoSQL

APLICA-SE A: NoSQL

Este artigo descreve as etapas para conceder acesso a uma identidade para gerenciar uma conta do Azure Cosmos DB para NoSQL e seus recursos.

Importante

As etapas neste artigo abrangem apenas o acesso do plano de controle para executar operações na própria conta de quaisquer recursos na hierarquia da conta. Para saber como gerenciar itens e executar consultas para o plano de dados, consulte Conceder acesso baseado em função do plano de dados.

Pré-requisitos

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
• Uma conta existente do Azure Cosmos DB.
• Uma ou mais identidades existentes no Microsoft Entra ID.

• Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Introdução ao Azure Cloud Shell.

  

• Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a usar Windows ou macOS, considere executar o Azure CLI num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.

  • Se você estiver usando uma instalação local, entre na CLI do Azure usando o comando az login . Para concluir o processo de autenticação, siga os passos exibidos no seu terminal. Para outras opções de entrada, consulte Autenticar no Azure usando a CLI do Azure.

  • Quando solicitado, instale a extensão do Azure CLI na primeira utilização. Para obter mais informações sobre extensões, consulte Usar e gerenciar extensões com a CLI do Azure.

  • Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para atualizar para a versão mais recente, execute az upgrade.

• Se você optar por usar o Azure PowerShell localmente:
  • Instale a versão mais recente do módulo Az PowerShell.
  • Conecte-se à sua conta do Azure usando o cmdlet Connect-AzAccount .
• Se você optar por usar o Azure Cloud Shell:
  • Consulte Visão geral do Azure Cloud Shell para obter mais informações.

Preparar a definição de função

Primeiro, deves preparar uma definição de função com uma lista de actions para conceder acesso à gestão de recursos de conta no Azure Cosmos DB.

Definição integrada

Liste todas as definições de função associadas à sua conta do Azure Cosmos DB usando az role definition list. Revise a saída e localize a definição de função chamada Operador do Cosmos DB. A saída contém na propriedade id o identificador exclusivo da definição de função. Registre esse valor conforme ele é necessário usar na etapa de atribuição mais adiante neste guia.

az role definition list \
    --name "Cosmos DB Operator"

[
  {
    "assignableScopes": [
      "/"
    ],
    "description": "Lets you manage Azure Cosmos DB accounts, but not access data in them. Prevents access to account keys and connection strings.",
    "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/230815da-be43-4aae-9cb4-875f7bd000aa",
    "name": "230815da-be43-4aae-9cb4-875f7bd000aa",
    "permissions": [
      {
        "actions": [
          "Microsoft.DocumentDb/databaseAccounts/*",
          "Microsoft.Insights/alertRules/*",
          "Microsoft.Authorization/*/read",
          "Microsoft.ResourceHealth/availabilityStatuses/read",
          "Microsoft.Resources/deployments/*",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Support/*",
          "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action"
        ],
        "condition": null,
        "conditionVersion": null,
        "dataActions": [],
        "notActions": [
          "Microsoft.DocumentDB/databaseAccounts/dataTransferJobs/*",
          "Microsoft.DocumentDB/databaseAccounts/readonlyKeys/*",
          "Microsoft.DocumentDB/databaseAccounts/regenerateKey/*",
          "Microsoft.DocumentDB/databaseAccounts/listKeys/*",
          "Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/*",
          "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/write",
          "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/delete",
          "Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write",
          "Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete",
          "Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/write",
          "Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/delete",
          "Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/write",
          "Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/delete"
        ],
        "notDataActions": []
      }
    ],
    "roleName": "Cosmos DB Operator",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions",
  }
]

Observação

Neste exemplo, o id valor seria /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/230815da-be43-4aae-9cb4-875f7bd000aa. Este exemplo usa dados fictícios e seu identificador seria diferente deste exemplo. No entanto, o identificador (230815da-be43-4aae-9cb4-875f7bd000aa) é globalmente exclusivo em todas as definições de função no Azure.

1. Entre no portal do Azure (https://portal.azure.com).

2. Insira Grupo de recursos na barra de pesquisa global.

   

3. Em Serviços, selecione Grupos de recursos.

   

4. No painel Grupos de recursos , selecione o grupo de recursos existente.

   

   Observação

   Este exemplo de captura de tela inclui o msdocs-identity-example grupo de recursos. O nome real do grupo de recursos pode ser diferente.

5. No painel do grupo de recursos, selecione Controle de acesso (IAM) no menu de serviço.

   

6. No painel Controle de acesso (IAM), selecione Funções.

   

7. Na seção Funções , use a frase de pesquisa Cosmos DB e localize a definição da função Operador do Cosmos DB . Em seguida, selecione a opção Exibir associada a essa definição.

   

8. Na caixa de diálogo de configuração do Operador do Cosmos DB, observe as ações atribuídas como parte desta definição de função.

   

9. Feche a caixa de diálogo de definição de função do Operador do Cosmos DB .

Use Get-AzRoleDefinition para listar todas as definições de função associadas à sua conta do Azure Cosmos DB. Revise a saída e localize a definição de função chamada Colaborador de Dados Interno do Cosmos DB. A saída contém na propriedade Id o identificador exclusivo da definição de função. Registre esse valor conforme ele é necessário usar na etapa de atribuição mais adiante neste guia.

$parameters = @{
    Name = "Cosmos DB Operator"
}
Get-AzRoleDefinition @parameters

Name             : Cosmos DB Operator
Id               : 230815da-be43-4aae-9cb4-875f7bd000aa
IsCustom         : False
Description      : Lets you manage Azure Cosmos DB accounts, but not access data in them. Prevents access to account keys and connection strings.
Actions          : {Microsoft.DocumentDb/databaseAccounts/*, Microsoft.Insights/alertRules/*, Microsoft.Authorization/*/read, Microsoft.ResourceHealth/availabilityStatuses/read…}
NotActions       : {Microsoft.DocumentDB/databaseAccounts/dataTransferJobs/*, Microsoft.DocumentDB/databaseAccounts/readonlyKeys/*, Microsoft.DocumentDB/databaseAccounts/regenerateKey/*, Microsoft.DocumentDB/databaseAccounts/listKeys/*…}
DataActions      : {}
NotDataActions   : {}
AssignableScopes : {/}

Observação

Neste exemplo, o Id valor seria 230815da-be43-4aae-9cb4-875f7bd000aa. O identificador é globalmente exclusivo em todas as definições de função no Azure.

Definição personalizada

1. Use az group show para obter os metadados para seu grupo de recursos atual.

   az group show \
       --name "<name-of-existing-resource-group>"
   

2. Observe a saída do comando anterior. Registe o valor da propriedade id para este grupo de recursos, pois é necessário usá-lo na próxima etapa.

   {
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example",
     "location": "westus",
     "name": "msdocs-identity-example",
     "type": "Microsoft.Resources/resourceGroups"
   }
   

   Observação

   Neste exemplo, o id valor seria /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example. Este exemplo usa dados fictícios e seu identificador seria diferente deste exemplo. Este é um exemplo truncado da saída.

3. Crie um novo arquivo JSON chamado role-definition.json. No arquivo, crie esta definição de recurso especificando os valores listados aqui. Para a AssignableScopes lista, adicione a id propriedade do grupo de recursos registrado na etapa anterior.

   {
     "Name": "Azure Cosmos DB Control Plane Owner",
     "IsCustom": true,
     "Description": "Can perform all control plane actions for an Azure Cosmos DB account.",
     "Actions": [
       "Microsoft.DocumentDb/*"
     ],
     "AssignableScopes": [
       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example"
     ]
   }
   

   Observação

   Este exemplo usa o /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example valor registrado da etapa anterior. Seu identificador de recurso real pode ser diferente.

4. Crie uma nova definição de função usando az role definition create. Use o arquivo role-definition.json como entrada para o --role-definition argumento.

   az role definition create \
       --role-definition role-definition.json
   

5. Revise a saída do comando de criação de definição. A saída contém na propriedade id o identificador exclusivo da definição de função. Registre esse valor conforme ele é necessário usar na etapa de atribuição mais adiante neste guia.

   {
     "assignableScopes": [
       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example"
     ],
     "description": "Can perform all control plane actions for an Azure Cosmos DB account.",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
     "name": "e4e4e4e4-ffff-aaaa-bbbb-c5c5c5c5c5c5",
     "permissions": [
       {
         "actions": [
           "Microsoft.DocumentDb/*"
         ]
       }
     ],
     "roleName": "Azure Cosmos DB Control Plane Owner",
     "roleType": "CustomRole"
   }
   

   Observação

   Neste exemplo, o id valor seria /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0. Este exemplo usa dados fictícios e seu identificador seria diferente deste exemplo. Este é um subconjunto do JSON típico gerado pela implementação para clareza.

1. Crie um novo arquivo Bicep para definir sua definição de função. Nomeie o arquivo control-plane-role-definition.bicep. Adicione estes actions à definição:

   	Descrição
   Microsoft.DocumentDb/*	Permite todas as ações possíveis.

   metadata description = 'Create RBAC definition for control plane access to Azure Cosmos DB.'
   
   @description('Name of the role definition.')
   param roleDefinitionName string = 'Azure Cosmos DB Control Plane Owner'
   
   @description('Description of the role definition.')
   param roleDefinitionDescription string = 'Can perform all control plane actions for an Azure Cosmos DB account.'
   
   resource definition 'Microsoft.Authorization/roleDefinitions@2022-04-01' = {
     name: guid(subscription().id, resourceGroup().id, roleDefinitionName)
     scope: resourceGroup()
     properties: {
       roleName: roleDefinitionName
       description: roleDefinitionDescription
       type: 'CustomRole'
       permissions: [
         {
           actions: [
             'Microsoft.DocumentDb/*'
           ]
         }
       ]
       assignableScopes: [
         resourceGroup().id
       ]
     }
   }
   
   output definitionId string = definition.id
   

2. Implante o modelo Bicep usando az deployment group create. Especifique o nome do modelo Bicep e do grupo de recursos do Azure.

   az deployment group create \
       --resource-group "<name-of-existing-resource-group>" \
       --template-file control-plane-role-definition.bicep
   

3. Analise a saída da implantação. A saída contém na propriedade properties.outputs.definitionId.value o identificador exclusivo da definição de função. Registre esse valor conforme ele é necessário usar na etapa de atribuição mais adiante neste guia.

   {
     "properties": {
       "outputs": {
         "definitionId": {
           "type": "String",
           "value": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0"
         }
       }
     }
   }
   

   Observação

   Neste exemplo, o id valor seria /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0. Este exemplo usa dados fictícios e seu identificador seria diferente deste exemplo. Este é um subconjunto do JSON típico gerado pela implementação para clareza.

1. No painel Controle de acesso (IAM), selecione Adicionar e, em seguida, Adicionar função personalizada.

   

2. No painel Noções básicas , configure as seguintes opções e selecione Avançar:

   	Valor
   Nome da função personalizada	Azure Cosmos DB Control Plane Owner
   Descrição	Can perform all control plane actions for an Azure Cosmos DB account.
   Permissões padrão	Começar do zero

   

3. No painel Permissões , selecione Adicionar permissões. Em seguida, procure DocumentDB na caixa de diálogo de permissões. Por fim, selecione a opção Microsoft.DocumentDB .

   

   

4. Na caixa de diálogo de permissões, selecione todas as Ações para Microsoft.DocumentDB. Em seguida, selecione Adicionar para retornar ao painel *Permissões .

   

5. De volta ao painel Permissões , observe a lista de permissões. Em seguida, selecione Analisar + criar.

   

6. No painel Rever + criar , reveja as opções especificadas para a nova definição de função. Por fim, selecione Criar.

   

7. Aguarde até que o portal termine de criar a definição de função.

1. Use Get-AzResourceGroup para obter os metadados para seu grupo de recursos atual.

   $parameters = @{
       Name = "<name-of-existing-resource-group>"
   }
   Get-AzResourceGroup @parameters
   

2. Observe a saída do comando anterior. Registe o valor da propriedade ResourceId para este grupo de recursos, pois é necessário usá-lo na próxima etapa.

   ResourceGroupName : msdocs-identity-example
   Location          : westus
   ProvisioningState : Succeeded
   ResourceId        : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example
   

   Observação

   Neste exemplo, o ResourceId valor seria /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example. Este exemplo usa dados fictícios e seu identificador seria diferente deste exemplo. Este é um exemplo truncado da saída típica.

3. Primeiro, importe o Az.Resources módulo. Em seguida, crie um novo Microsoft.Azure.Commands.Resources.Models.Authorization.PSRoleDefinition objeto. No objeto, crie esta definição de recurso especificando os valores listados aqui. Para a AssignableScopes lista, adicione a ResourceId propriedade do grupo de recursos registrado na etapa anterior. Finalmente, use o objeto de definição de função como a entrada para o -Role parâmetro de New-AzRoleDefinition.

   Import-Module Az.Resources
   
   $parameters = @{
       TypeName = "Microsoft.Azure.Commands.Resources.Models.Authorization.PSRoleDefinition"
       Property = @{
           Name = "Azure Cosmos DB Control Plane Owner"
           Description = "Can perform all control plane actions for an Azure Cosmos DB account."
           IsCustom = $true
           Actions = @(
               "Microsoft.DocumentDb/*"
           )
           AssignableScopes = @(
               "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example"
           )
       }
   }
   $role = New-Object @parameters
   
   New-AzRoleDefinition -Role $role
   

   Observação

   Este exemplo usa o /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example valor registrado da etapa anterior. Seu identificador de recurso real pode ser diferente.

4. Revise a saída do comando de criação de definição. A saída contém na propriedade Name o identificador exclusivo da definição de função. Registre esse valor conforme ele é necessário usar na etapa de atribuição mais adiante neste guia.

   Name             : Azure Cosmos DB Control Plane Owner
   Id               : e4e4e4e4-ffff-aaaa-bbbb-c5c5c5c5c5c5
   IsCustom         : True
   Description      : Can perform all control plane actions for an Azure Cosmos DB account.
   Actions          : {Microsoft.DocumentDb/*}
   AssignableScopes : {/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example}
   

   Observação

   Neste exemplo, o Name valor seria Azure Cosmos DB Control Plane Owner. Este é um subconjunto da saída típica da implantação para maior clareza.

Atribuir papel à identidade

Agora, atribua a função recém-definida a uma identidade para que seus aplicativos possam acessar recursos no Azure Cosmos DB.

Importante

Esta tarefa exige que você já tenha o identificador exclusivo de qualquer identidade a que deseje conceder permissões de controle de acesso baseadas em função.

1. Use az group show para obter os metadados para seu grupo de recursos atual novamente.

   az group show \
       --name "<name-of-existing-resource-group>"
   

2. Observe a saída do comando anterior. Registe o valor da propriedade id para este grupo de recursos, pois é necessário usá-lo na próxima etapa.

   {
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example",
     "location": "westus",
     "name": "msdocs-identity-example",
     "type": "Microsoft.Resources/resourceGroups"
   }
   

   Observação

   Neste exemplo, o id valor seria /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example. Este exemplo usa dados fictícios e seu identificador seria diferente deste exemplo. Este é um exemplo truncado da saída.

3. Atribua a nova função usando az role assignment create. Use o identificador do seu grupo de recursos para o --scope argumento, o identificador da função para o -role argumento e o identificador exclusivo para sua identidade para o --assignee argumento.

   az role assignment create \
       --assignee "<your-principal-identifier>" \
       --role "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0" \
       --scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example"
   

   Observação

   Neste comando de exemplo, o scope foi definido como o exemplo /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example fictício do exemplo da etapa anterior. O identificador do seu grupo de recursos seria distinto deste exemplo. O role também foi ajustado para o fictício /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0. Novamente, seu identificador de função seria distinto.

4. Observe a saída do comando. A saída inclui um identificador exclusivo para a atribuição na propriedade id.

   {
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
     "name": "ffffffff-5555-6666-7777-aaaaaaaaaaaa",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "msdocs-identity-example",
     "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
     "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example",
     "type": "Microsoft.Authorization/roleAssignments"
   }
   

   Observação

   Neste exemplo, a id propriedade, que é /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0, é outro exemplo fictício.

5. Repita estas etapas para conceder acesso à conta a partir de quaisquer outras identidades que você gostaria de usar.

   Sugestão

   Você pode repetir essas etapas para quantas identidades desejar. Normalmente, essas etapas são pelo menos repetidas para permitir que os desenvolvedores acessem uma conta usando sua identidade humana e para permitir o acesso de aplicativos usando uma identidade gerenciada.

1. Crie um novo arquivo Bicep para definir sua atribuição de função. Nomeie o arquivo control-plane-role-assignment.bicep.

   metadata description = 'Assign RBAC role for control plane access to Azure Cosmos DB.'
   
   @description('Id of the role definition to assign to the targeted principal in the context of the account.')
   param roleDefinitionId string
   
   @description('Id of the identity/principal to assign this role in the context of the account.')
   param identityId string
   
   resource assignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
     name: guid(subscription().id, resourceGroup().id, roleDefinitionId, identityId)
     scope: resourceGroup()
     properties: {
       roleDefinitionId: roleDefinitionId
       principalId: identityId
     }
   }
   

2. Crie um novo ficheiro de parâmetros do Bicep chamado control-plane-role-assignment.bicepparam. Neste arquivo de parâmetros; Atribua os identificadores de definição de função registrados anteriormente ao roleDefinitionId parâmetro e o identificador exclusivo de sua identidade ao identityId parâmetro.

   using './control-plane-role-assignment.bicep'
   
   param roleDefinitionId = '<id-of-new-role-definition>'
   param identityId = '<id-of-existing-identity>'
   

3. Implante este modelo Bicep usando az deployment group create.

   az deployment group create \
       --resource-group "<name-of-existing-resource-group>" \
       --parameters control-plane-role-assignment.bicepparam \
       --template-file control-plane-role-assignment.bicep
   

4. Repita estas etapas para conceder acesso à conta a partir de quaisquer outras identidades que você gostaria de usar.

   Sugestão

   Você pode repetir essas etapas para quantas identidades desejar. Normalmente, essas etapas são pelo menos repetidas para permitir que os desenvolvedores acessem uma conta usando sua identidade humana e para permitir o acesso de aplicativos usando uma identidade gerenciada.

1. No painel Controle de acesso (IAM), selecione Adicionar e, em seguida, Adicionar atribuição de função.

   

2. No painel Função , procure Azure Cosmos DB e selecione a função Proprietário do Plano de Controle do Azure Cosmos DB criada anteriormente neste guia. Em seguida, selecione Avançar.

   

   Sugestão

   Opcionalmente, você pode filtrar a lista de funções para incluir apenas funções personalizadas.

3. No painel Membros , selecione a opção Selecionar membros . Na caixa de diálogo membros, selecione a identidade que você deseja conceder esse nível de acesso para sua conta do Azure Cosmos DB e use a opção Selecionar para confirmar sua escolha.

   

   

   Observação

   Esta captura de ecrã ilustra um utilizador de exemplo chamado "Kai Carter" com um principal de kai@adventure-works.com.

4. De volta ao painel Membros , revise o(s) membro(s) selecionado(s) e selecione Revisar + atribuir.

   

5. No painel de Revisão e Atribuição, reveja as opções especificadas para a nova designação de função. Por fim, selecione Rever + atribuir.

   

6. Aguarde até que o portal termine de criar a atribuição de função.

1. Atribua a nova função usando New-AzRoleAssignment. Use o nome da função para o RoleDefinitionName parâmetro e o identificador exclusivo para sua identidade para o ObjectId parâmetro.

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       ObjectId = "<your-principal-identifier>"
       RoleDefinitionName = "Azure Cosmos DB Control Plane Owner"
   }
   New-AzRoleAssignment @parameters
   

2. Observe a saída do comando. A saída inclui um identificador exclusivo para a atribuição na propriedade RoleAssignmentId.

   RoleAssignmentName : ffffffff-5555-6666-7777-aaaaaaaaaaaa
   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example
   DisplayName        : Kai Carter
   SignInName         : <kai@adventure-works.com>
   RoleDefinitionName : Azure Cosmos DB Control Plane Owner
   RoleDefinitionId   : e4e4e4e4-ffff-aaaa-bbbb-c5c5c5c5c5c5
   

   Observação

   Neste exemplo, a RoleAssignmentId propriedade, que é /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0, é outro exemplo fictício. Este é um subconjunto da saída típica da implantação para maior clareza.

3. Repita estas etapas para conceder acesso à conta a partir de quaisquer outras identidades que você gostaria de usar.

   Sugestão

   Você pode repetir essas etapas para quantas identidades desejar. Normalmente, essas etapas são pelo menos repetidas para permitir que os desenvolvedores acessem uma conta usando sua identidade humana e para permitir o acesso de aplicativos usando uma identidade gerenciada.

Validar o acesso ao plano de controle no código

Por fim, valide se você concedeu acesso corretamente usando o código do aplicativo e o SDK de Gerenciamento do Azure em sua linguagem de programação preferida.

C#

using Azure.Identity;
using Azure.ResourceManager;

DefaultAzureCredential credential = new();

ArmClient client = new(credential);

Importante

Este exemplo de código usa as bibliotecas Azure.ResourceManager.CosmosDB e Azure.Identity do NuGet.

Javascript

const { CosmosDBManagementClient } = require('@azure/arm-cosmosdb');
const { DefaultAzureCredential } = require('@azure/identity');

const subscriptionId = "<subscription-id>";

const credential = new DefaultAzureCredential();

const client = new CosmosDBManagementClient(credential, subscriptionId);

Importante

Este exemplo de código utiliza as bibliotecas @azure/arm-cosmosdb e @azure/identity do npm.

TypeScript

import { CosmosDBManagementClient } from '@azure/arm-cosmosdb';
import { TokenCredential, DefaultAzureCredential } from '@azure/identity';

let subscriptionId: string = "<subscription-id>";

let credential: TokenCredential = new DefaultAzureCredential();

const client: CosmosDBManagementClient = new CosmosDBManagementClient(credential, subscriptionId);

Importante

Este exemplo de código utiliza as bibliotecas @azure/arm-cosmosdb e @azure/identity do npm.

Píton

from azure.mgmt.cosmosdb import CosmosDBManagementClient
from azure.identity import DefaultAzureCredential

subscription_id = "<subscription-id>"

credential = DefaultAzureCredential()

client = CosmosDBManagementClient(credential=credential, subscription=subscription_id)

Importante

Este exemplo de código usa as bibliotecas azure-mgmt-cosmosdb e azure-identity do PyPI.

Ir

package main

import (
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
    "github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/cosmos/armcosmos"
)

const subscriptionId = "<subscription-id>"

func main() {
    credential, _ := azidentity.NewDefaultAzureCredential(nil)
    
    client, _ := armcosmos.NewDatabaseClient(subscriptionId, credential, nil)
}

Importante

Este exemplo de código usa as bibliotecas azure/azure-sdk-for-go/sdk/resourcemanager/cosmos/armcosmos e azure/azure-sdk-for-go/sdk/azidentity da linguagem Go.

Java

package com.example;

import com.azure.core.management.profile.AzureProfile;
import com.azure.core.management.AzureEnvironment;
import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.resourcemanager.cosmos.CosmosManager;

public class CosmosDB {
    public static void main(String[] args) {
        AzureProfile profile = new AzureProfile(AzureEnvironment.AZURE);
        DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
          .build();

        CosmosManager manager = CosmosManager.authenticate(credential, profile);
    }
}

Importante

Este exemplo de código usa as bibliotecas com.azure.resourcemanager/azure-resourcemanager-cosmos e com.azure/azure-identity do Maven.

Conteúdo relacionado

• Práticas recomendadas de segurança
• Desativar a autenticação baseada em chave
• Conceder acesso baseado em função ao plano de dados