Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Cosmos DB no Microsoft Fabric é um banco de dados NoSQL otimizado para IA configurado automaticamente para necessidades típicas de desenvolvimento com uma experiência de gerenciamento simplificada. O Fabric fornece segurança, controle de acesso e monitoramento integrados para o Cosmos DB no Fabric. Embora o Fabric forneça recursos de segurança integrados para proteger seus dados, é essencial seguir as práticas recomendadas para melhorar ainda mais a segurança de sua conta, dados e configurações de rede.
Este artigo fornece orientação sobre como melhor proteger a sua implementação do Cosmos DB no Fabric.
Gestão de identidades
Use identidades gerenciadas para acessar sua conta de outros serviços do Azure: as identidades gerenciadas eliminam a necessidade de gerenciar credenciais fornecendo uma identidade gerenciada automaticamente na ID do Microsoft Entra. Use identidades gerenciadas para acessar com segurança o Cosmos DB de outros serviços do Azure sem incorporar credenciais em seu código. Embora o Cosmos DB no Fabric ofereça suporte a vários tipos de identidade (entidades de serviço), as identidades gerenciadas são a escolha preferida, pois não exigem que sua solução manipule credenciais diretamente. Para obter mais informações, consulte autenticar a partir dos serviços de host do Azure.
Use a autenticação Entra para consultar, criar e acessar itens dentro de um contêiner enquanto desenvolve soluções: Acesse itens dentro de contêineres do Cosmos DB usando sua identidade humana e autenticação Microsoft Entra. Imponha acesso com privilégios mínimos para consultas, criação e outras operações. Esse controle ajuda a proteger suas operações de dados. Para obter mais informações, consulte conectar-se com segurança a partir do seu ambiente de desenvolvimento.
Separe as identidades do Azure usadas para acesso a dados e plano de controle: use identidades distintas do Azure para operações de plano de controle e plano de dados para reduzir o risco de escalonamento de privilégios e garantir um melhor controle de acesso. Esta separação aumenta a segurança, limitando o âmbito de cada identidade. Para obter mais informações, consulte configurar autorização.
Permissões de usuário
- Configurar o acesso menos permissivo ao espaço de trabalho do tipo Fabric: as permissões de utilizador são aplicadas com base no nível atual de acesso ao espaço de trabalho. Se um usuário for removido do espaço de trabalho Malha, ele também perderá automaticamente o acesso ao banco de dados associado do Cosmos DB e aos dados subjacentes. Para obter mais informações, consulte Modelo de permissão do Fabric.
Contexto de execução e considerações de identidade
Compreenda a identidade de execução do caderno: Ao trabalhar com cadernos em espaços de trabalho Fabric, tenha em atenção que os artefactos do Fabric são sempre executados com a identidade do utilizador que os criou, independentemente de quem executa. Isto significa que as permissões de acesso aos dados e os registos de auditoria refletirão a identidade do criador do caderno, e não a identidade do executor. Planeie a sua estratégia de criação e partilha de cadernos em conformidade para garantir controlos de acesso adequados.
Planeie limitações de identidade do espaço de trabalho: Atualmente, o Fabric não suporta
run-asfuncionalidades com Identidade do Espaço de Trabalho. As operações são executadas com a identidade do utilizador que as criou, em vez de uma identidade de espaço de trabalho partilhada. Considere isto ao desenhar cenários multiutilizador e assegure que os utilizadores apropriados criam artefactos que serão partilhados no espaço de trabalho.