Руководство по безопасности для Azure Cosmos DB для MongoDB
Область применения: 
MongoDB
При работе с Azure Cosmos DB для MongoDB важно убедиться, что авторизованные пользователи и приложения имеют доступ к данным, предотвращая непреднамеренный или несанкционированный доступ.
Хотя использование ключей и учетных данных владельца ресурса может показаться удобным вариантом, это не рекомендуется из-за нескольких причин. Во-первых, эти методы не имеют надежности и гибкости, предоставляемой проверкой подлинности Microsoft Entra. Microsoft Entra предлагает расширенные функции безопасности, такие как многофакторная проверка подлинности и политики условного доступа, что значительно снижает риск несанкционированного доступа. Используя Microsoft Entra, вы можете значительно повысить уровень безопасности приложений и защитить конфиденциальные данные от потенциальных угроз.
Управление доступом
Управление доступом на основе ролей с помощью Microsoft Entra позволяет управлять доступом пользователей, устройств или рабочих нагрузок к данным и в какой степени они могут получить доступ к этим данным. Использование подробных разрешений в определении роли обеспечивает гибкость в применении субъекта безопасности "наименьших привилегий" при сохранении доступа к данным простым и оптимизированным для разработки.
Предоставление доступа в рабочей среде
В рабочих приложениях Microsoft Entra предлагает множество типов удостоверений, включая, но не только:
- Удостоверения рабочей нагрузки для конкретных рабочих нагрузок приложений
- Назначаемые системой управляемые удостоверения, собственные для службы Azure
- Назначаемые пользователем управляемые удостоверения, которые можно гибко использовать между несколькими службами Azure
- Субъекты-службы для пользовательских и более сложных сценариев
- Удостоверения устройств для пограничных рабочих нагрузок
С помощью этих удостоверений вы можете предоставить определенные рабочие приложения или рабочие нагрузки точного доступа к запросам, чтению или манипулирования ресурсами в Azure Cosmos DB.
Предоставление доступа в разработке
В разработке Microsoft Entra предлагает тот же уровень гибкости для человеческих удостоверений разработчика. Вы можете использовать те же определения и методы управления доступом на основе ролей, чтобы предоставить разработчикам доступ к тестовой, промежуточной или учетной записи базы данных разработки.
Ваша группа безопасности имеет один набор средств для управления удостоверениями и разрешениями для учетных записей во всех средах.
Упрощение кода проверки подлинности
С помощью пакета SDK Azure методы, используемые для доступа к данным Azure Cosmos DB программно в различных сценариях:
- Если приложение находится в разработке или рабочей среде
- Если вы используете человеческую, рабочую нагрузку, управляемые или удостоверения устройств
- Если ваша команда предпочитает использовать Azure CLI, Azure PowerShell, Azure Developer CLI, Visual Studio или Visual Studio Code
- Если ваша команда использует Python, JavaScript, TypeScript, .NET, Go или Java
Пакет SDK Azure предоставляет библиотеку удостоверений, совместимую с многими платформами, языком разработки и методами проверки подлинности. После того как вы узнаете, как включить проверку подлинности Microsoft Entra, метод остается неизменным во всех сценариях. Для каждой среды не требуется создавать отдельные стеки проверки подлинности.