Использование управления доступом на основе ролей на основе ролей в Azure Cosmos DB для NoSQL

ОБЛАСТЬ ПРИМЕНЕНИЯ: NoSQL

Схема последовательности руководства по развертыванию, включая следующие расположения: обзор, основные понятия, подготовка, управление доступом на основе ролей, сеть и справочник. В настоящее время выделено расположение управления доступом на основе ролей.

В этой статье описывается, как предоставить удостоверению доступ для управления учетной записью Azure Cosmos DB для NoSQL и ее ресурсами.

Внимание

Действия, описанные в этой статье, охватывают только доступ к плоскости управления для выполнения операций с самой учетной записью всех ресурсов в иерархии учетной записи. Сведения об управлении ролями, определениями и назначениями для плоскости управления см. в статье предоставление доступа на основе ролей уровня данных.

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Существующая учетная запись Azure Cosmos DB.
• Одно или несколько существующих удостоверений в идентификаторе Microsoft Entra.

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.

  

• Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

  • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

• Если вы решили использовать Azure PowerShell локально:
  • Установите последнюю версию модуля Az PowerShell.
  • Подключитесь к учетной записи Azure с помощью командлета Connect-AzAccount.
• Если вы решили использовать Azure Cloud Shell:
  • Дополнительные сведения см. в статье Общие сведения об Azure Cloud Shell.

Подготовка определения роли

Сначала необходимо подготовить определение роли со списком actions предоставления доступа к ресурсам учетной записи в Azure Cosmos DB.

Встроенное определение

Список всех определений ролей, связанных с учетной записью Azure Cosmos DB, с помощью az role definition list. Просмотрите выходные данные и найдите определение роли с именем Встроенный участник данных Cosmos DB. Выходные данные содержат уникальный идентификатор определения роли в свойстве id . Запишите это значение, так как оно необходимо использовать на шаге назначения далее в этом руководстве.

az role definition list \
    --name "Cosmos DB Operator"

[
  {
    "assignableScopes": [
      "/"
    ],
    "description": "Lets you manage Azure Cosmos DB accounts, but not access data in them. Prevents access to account keys and connection strings.",
    "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/230815da-be43-4aae-9cb4-875f7bd000aa",
    "name": "230815da-be43-4aae-9cb4-875f7bd000aa",
    "permissions": [
      {
        "actions": [
          "Microsoft.DocumentDb/databaseAccounts/*",
          "Microsoft.Insights/alertRules/*",
          "Microsoft.Authorization/*/read",
          "Microsoft.ResourceHealth/availabilityStatuses/read",
          "Microsoft.Resources/deployments/*",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Support/*",
          "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action"
        ],
        "condition": null,
        "conditionVersion": null,
        "dataActions": [],
        "notActions": [
          "Microsoft.DocumentDB/databaseAccounts/dataTransferJobs/*",
          "Microsoft.DocumentDB/databaseAccounts/readonlyKeys/*",
          "Microsoft.DocumentDB/databaseAccounts/regenerateKey/*",
          "Microsoft.DocumentDB/databaseAccounts/listKeys/*",
          "Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/*",
          "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/write",
          "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/delete",
          "Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write",
          "Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete",
          "Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/write",
          "Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/delete",
          "Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/write",
          "Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/delete"
        ],
        "notDataActions": []
      }
    ],
    "roleName": "Cosmos DB Operator",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions",
  }
]

Примечание.

В этом примере id значение будет./subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/230815da-be43-4aae-9cb4-875f7bd000aa В этом примере используются вымышленные данные, и идентификатор будет отличаться от этого примера. Однако идентификатор (230815da-be43-4aae-9cb4-875f7bd000aa) является глобально уникальным для всех определений ролей в Azure.

1. Войдите на портал Azure (https://portal.azure.com).

2. Введите группу ресурсов в глобальной строке поиска.

   

3. В службах выберите группы ресурсов.

   

4. В области групп ресурсов выберите существующую группу ресурсов.

   

   Примечание.

   В этом примере снимок экрана содержит группу msdocs-identity-example ресурсов. Фактическое имя группы ресурсов может отличаться.

5. В области группы ресурсов выберите элемент управления доступом (IAM) в меню службы.

   

6. В области управления доступом (IAM) выберите роли.

   

7. В разделе "Роли" используйте фразу поиска Cosmos DB и найдите определение роли оператора Cosmos DB. Затем выберите параметр представления, связанный с этим определением.

   

8. В диалоговом окне определения роли оператора Cosmos DB просмотрите действия, назначенные в рамках этого определения роли.

   

9. Закройте диалоговое окно определения роли оператора Cosmos DB.

Используйте Get-AzRoleDefinition для перечисления всех определений ролей, связанных с учетной записью Azure Cosmos DB. Просмотрите выходные данные и найдите определение роли с именем Встроенный участник данных Cosmos DB. Выходные данные содержат уникальный идентификатор определения роли в свойстве Id . Запишите это значение, так как оно необходимо использовать на шаге назначения далее в этом руководстве.

$parameters = @{
    Name = "Cosmos DB Operator"
}
Get-AzRoleDefinition @parameters

Name             : Cosmos DB Operator
Id               : 230815da-be43-4aae-9cb4-875f7bd000aa
IsCustom         : False
Description      : Lets you manage Azure Cosmos DB accounts, but not access data in them. Prevents access to account keys and connection strings.
Actions          : {Microsoft.DocumentDb/databaseAccounts/*, Microsoft.Insights/alertRules/*, Microsoft.Authorization/*/read, Microsoft.ResourceHealth/availabilityStatuses/read…}
NotActions       : {Microsoft.DocumentDB/databaseAccounts/dataTransferJobs/*, Microsoft.DocumentDB/databaseAccounts/readonlyKeys/*, Microsoft.DocumentDB/databaseAccounts/regenerateKey/*, Microsoft.DocumentDB/databaseAccounts/listKeys/*…}
DataActions      : {}
NotDataActions   : {}
AssignableScopes : {/}

Примечание.

В этом примере Id значение будет.230815da-be43-4aae-9cb4-875f7bd000aa Идентификатор глобально уникален во всех определениях ролей в Azure.

Пользовательское определение

1. Используйте az group show для получения метаданных для текущей группы ресурсов.

   az group show \
       --name "<name-of-existing-resource-group>"
   

2. Просмотрите выходные данные предыдущей команды. Запишите значение id свойства для этой группы ресурсов, так как оно необходимо использовать на следующем шаге.

   {
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example",
     "location": "westus",
     "name": "msdocs-identity-example",
     "type": "Microsoft.Resources/resourceGroups"
   }
   

   Примечание.

   В этом примере id значение будет./subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example В этом примере используются вымышленные данные, и идентификатор будет отличаться от этого примера. Это усеченный пример выходных данных.

3. Создайте файл JSON с именем role-definition.json. В файле создайте это определение ресурса, указывающее значения, перечисленные здесь. В списке AssignableScopes добавьте id свойство группы ресурсов, записанной на предыдущем шаге.

   {
     "Name": "Azure Cosmos DB Control Plane Owner",
     "IsCustom": true,
     "Description": "Can perform all control plane actions for an Azure Cosmos DB account.",
     "Actions": [
       "Microsoft.DocumentDb/*"
     ],
     "AssignableScopes": [
       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example"
     ]
   }
   

   Примечание.

   В этом примере используется /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example значение, записанное на предыдущем шаге. Фактический идентификатор ресурса может отличаться.

4. Создание определения роли с помощью az role definition create. Используйте файл role-definition.json в качестве входных данных для аргумента--role-definition.

   az role definition create \
       --role-definition role-definition.json
   

5. Просмотрите выходные данные команды создания определения. Выходные данные содержат уникальный идентификатор определения роли в свойстве id . Запишите это значение, так как оно необходимо использовать на шаге назначения далее в этом руководстве.

   {
     "assignableScopes": [
       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example"
     ],
     "description": "Can perform all control plane actions for an Azure Cosmos DB account.",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
     "name": "e4e4e4e4-ffff-aaaa-bbbb-c5c5c5c5c5c5",
     "permissions": [
       {
         "actions": [
           "Microsoft.DocumentDb/*"
         ]
       }
     ],
     "roleName": "Azure Cosmos DB Control Plane Owner",
     "roleType": "CustomRole"
   }
   

   Примечание.

   В этом примере id значение будет./subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0 В этом примере используются вымышленные данные, и идентификатор будет отличаться от этого примера. Это подмножество типичного JSON, выходного из развертывания для ясности.

1. Создайте файл Bicep для определения определения роли. Назовите файл control-plane-role-definition.bicep. Добавьте их actions в определение:

   	Description
   Microsoft.DocumentDb/*	Включает все возможные действия.

   metadata description = 'Create RBAC definition for control plane access to Azure Cosmos DB.'
   
   @description('Name of the role definition.')
   param roleDefinitionName string = 'Azure Cosmos DB Control Plane Owner'
   
   @description('Description of the role definition.')
   param roleDefinitionDescription string = 'Can perform all control plane actions for an Azure Cosmos DB account.'
   
   resource definition 'Microsoft.Authorization/roleDefinitions@2022-04-01' = {
     name: guid(subscription().id, resourceGroup().id, roleDefinitionName)
     scope: resourceGroup()
     properties: {
       roleName: roleDefinitionName
       description: roleDefinitionDescription
       type: 'CustomRole'
       permissions: [
         {
           actions: [
             'Microsoft.DocumentDb/*'
           ]
         }
       ]
       assignableScopes: [
         resourceGroup().id
       ]
     }
   }
   
   output definitionId string = definition.id
   

2. Разверните шаблон Bicep с помощью az deployment group create. Укажите имя шаблона Bicep и группы ресурсов Azure.

   az deployment group create \
       --resource-group "<name-of-existing-resource-group>" \
       --template-file control-plane-role-definition.bicep
   

3. Просмотрите выходные данные развертывания. Выходные данные содержат уникальный идентификатор определения роли в свойстве properties.outputs.definitionId.value . Запишите это значение, так как оно необходимо использовать на шаге назначения далее в этом руководстве.

   {
     "properties": {
       "outputs": {
         "definitionId": {
           "type": "String",
           "value": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0"
         }
       }
     }
   }
   

   Примечание.

   В этом примере id значение будет./subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0 В этом примере используются вымышленные данные, и идентификатор будет отличаться от этого примера. Это подмножество типичного JSON, выходного из развертывания для ясности.

1. В области управления доступом (IAM) выберите "Добавить " и " Добавить пользовательскую роль".

   

2. В области "Основные сведения" настройте следующие параметры и нажмите кнопку "Далее".

   	Значение
   Имя настраиваемой роли	Azure Cosmos DB Control Plane Owner
   Description	Can perform all control plane actions for an Azure Cosmos DB account.
   Базовые разрешения	Начало с нуля

   

3. В области "Разрешения" выберите "Добавить разрешения". Затем найдите DocumentDB в диалоговом окне разрешений. Наконец, выберите параметр Microsoft.DocumentDB .

   

   

4. В диалоговом окне разрешений выберите все действия для Microsoft.DocumentDB. Затем нажмите кнопку "Добавить", чтобы вернуться в область "Разрешения".

   

5. Вернитесь в область разрешений , просмотрите список разрешений. Нажмите Проверка и создание.

   

6. В области "Просмотр и создание" просмотрите указанные параметры для определения новой роли. Наконец, выберите Создать.

   

7. Дождитесь завершения создания определения роли на портале.

1. Используйте Get-AzResourceGroup для получения метаданных для текущей группы ресурсов.

   $parameters = @{
       Name = "<name-of-existing-resource-group>"
   }
   Get-AzResourceGroup @parameters
   

2. Просмотрите выходные данные предыдущей команды. Запишите значение ResourceId свойства для этой группы ресурсов, так как оно необходимо использовать на следующем шаге.

   ResourceGroupName : msdocs-identity-example
   Location          : westus
   ProvisioningState : Succeeded
   ResourceId        : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example
   

   Примечание.

   В этом примере ResourceId значение будет./subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example В этом примере используются вымышленные данные, и идентификатор будет отличаться от этого примера. Это усеченный пример типичных выходных данных.

3. Сначала импортируйте Az.Resources модуль. Затем создайте новый Microsoft.Azure.Commands.Resources.Models.Authorization.PSRoleDefinition объект. В объекте создайте это определение ресурса, указывающее значения, перечисленные здесь. В списке AssignableScopes добавьте ResourceId свойство группы ресурсов, записанной на предыдущем шаге. Наконец, используйте объект определения роли в качестве входных данных для -Role параметра New-AzRoleDefinition.

   Import-Module Az.Resources
   
   $parameters = @{
       TypeName = "Microsoft.Azure.Commands.Resources.Models.Authorization.PSRoleDefinition"
       Property = @{
           Name = "Azure Cosmos DB Control Plane Owner"
           Description = "Can perform all control plane actions for an Azure Cosmos DB account."
           IsCustom = $true
           Actions = @(
               "Microsoft.DocumentDb/*"
           )
           AssignableScopes = @(
               "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example"
           )
       }
   }
   $role = New-Object @parameters
   
   New-AzRoleDefinition -Role $role
   

   Примечание.

   В этом примере используется /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example значение, записанное на предыдущем шаге. Фактический идентификатор ресурса может отличаться.

4. Просмотрите выходные данные команды создания определения. Выходные данные содержат уникальный идентификатор определения роли в свойстве Name . Запишите это значение, так как оно необходимо использовать на шаге назначения далее в этом руководстве.

   Name             : Azure Cosmos DB Control Plane Owner
   Id               : e4e4e4e4-ffff-aaaa-bbbb-c5c5c5c5c5c5
   IsCustom         : True
   Description      : Can perform all control plane actions for an Azure Cosmos DB account.
   Actions          : {Microsoft.DocumentDb/*}
   AssignableScopes : {/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example}
   

   Примечание.

   В этом примере Name значение будет.Azure Cosmos DB Control Plane Owner Это подмножество типичных выходных данных развертывания для ясности.

Назначение роли удостоверению

Теперь назначьте только что определенную роль идентификатору, чтобы приложения могли получать доступ к ресурсам в Azure Cosmos DB.

Внимание

Эта задача назначения требует, чтобы у вас уже был уникальный идентификатор любого удостоверения, который требуется предоставить разрешения на управление доступом на основе ролей.

1. Используйте az group show для повторного получения метаданных для текущей группы ресурсов.

   az group show \
       --name "<name-of-existing-resource-group>"
   

2. Просмотрите выходные данные предыдущей команды. Запишите значение id свойства для этой группы ресурсов, так как оно необходимо использовать на следующем шаге.

   {
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example",
     "location": "westus",
     "name": "msdocs-identity-example",
     "type": "Microsoft.Resources/resourceGroups"
   }
   

   Примечание.

   В этом примере id значение будет./subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example В этом примере используются вымышленные данные, и идентификатор будет отличаться от этого примера. Это усеченный пример выходных данных.

3. Назначьте новую роль с помощью az role assignment create. Используйте идентификатор группы ресурсов для --scope аргумента, идентификатор роли для -role аргумента и уникальный идентификатор удостоверения для аргумента --assignee .

   az role assignment create \
       --assignee "<your-principal-identifier>" \
       --role "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0" \
       --scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example"
   

   Примечание.

   В этом примере команда scope была задана в вымышленном примере /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example из примера предыдущего шага. Идентификатор группы ресурсов будет отличаться от этого примера. Он role также был установлен для вымышленного /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0. Опять же, идентификатор роли будет отличаться.

4. Просмотрите выходные данные команды . Выходные данные включают уникальный идентификатор назначения в свойстве id .

   {
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
     "name": "ffffffff-5555-6666-7777-aaaaaaaaaaaa",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "msdocs-identity-example",
     "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
     "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example",
     "type": "Microsoft.Authorization/roleAssignments"
   }
   

   Примечание.

   В этом примере свойство является /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0 еще одним вымышленным примеромid.

5. Повторите эти действия, чтобы предоставить доступ к учетной записи из любых других удостоверений, которые вы хотите использовать.

   Совет

   Эти действия можно повторить для столько удостоверений, сколько вы хотите. Как правило, эти шаги по крайней мере повторяются, чтобы разработчики могли получать доступ к учетной записи с помощью человеческого удостоверения и разрешать приложениям доступ с помощью управляемого удостоверения.

1. Создайте файл Bicep для определения назначения роли. Назовите файл control-plane-role-assignment.bicep.

   metadata description = 'Assign RBAC role for control plane access to Azure Cosmos DB.'
   
   @description('Id of the role definition to assign to the targeted principal in the context of the account.')
   param roleDefinitionId string
   
   @description('Id of the identity/principal to assign this role in the context of the account.')
   param identityId string
   
   resource assignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
     name: guid(subscription().id, resourceGroup().id, roleDefinitionId, identityId)
     scope: resourceGroup()
     properties: {
       roleDefinitionId: roleDefinitionId
       principalId: identityId
     }
   }
   

2. Создайте файл параметров Bicep с именем control-plane-role-assignment..bicepparam В этом файле параметров; назначьте ранее записанные идентификаторы roleDefinitionId определения ролей параметру и уникальный идентификатор удостоверения параметру identityId .

   using './control-plane-role-assignment.bicep'
   
   param roleDefinitionId = '<id-of-new-role-definition>'
   param identityId = '<id-of-existing-identity>'
   

3. Разверните этот шаблон Bicep с помощью az deployment group create.

   az deployment group create \
       --resource-group "<name-of-existing-resource-group>" \
       --parameters control-plane-role-assignment.bicepparam \
       --template-file control-plane-role-assignment.bicep
   

4. Повторите эти действия, чтобы предоставить доступ к учетной записи из любых других удостоверений, которые вы хотите использовать.

   Совет

   Эти действия можно повторить для столько удостоверений, сколько вы хотите. Как правило, эти шаги по крайней мере повторяются, чтобы разработчики могли получать доступ к учетной записи с помощью человеческого удостоверения и разрешать приложениям доступ с помощью управляемого удостоверения.

1. В области управления доступом (IAM) выберите "Добавить " и " Добавить назначение ролей".

   

2. На панели ролей найдите Azure Cosmos DB и выберите роль владельца уровня управления Azure Cosmos DB, созданную ранее в этом руководстве. Затем выберите Далее.

   

   Совет

   При необходимости можно отфильтровать список ролей, чтобы включить только пользовательские роли.

3. В области "Элементы" выберите параметр "Выбрать участников". В диалоговом окне "Участники" выберите удостоверение, которое вы хотите предоставить этому уровню доступа для учетной записи Azure Cosmos DB, а затем используйте параметр Select , чтобы подтвердить выбор.

   

   

   Примечание.

   На этом снимке экрана показан пример пользователя с именем Kai Carter с субъектом kai@adventure-works.com.

4. Вернитесь в область "Элементы" , просмотрите выбранные члены и нажмите кнопку "Проверить и назначить".

   

5. В области "Проверка и назначение" просмотрите указанные параметры для нового назначения ролей. Выберите Проверить и назначить.

   

6. Дождитесь завершения создания назначения роли на портале.

1. Назначьте новую роль с помощью New-AzRoleAssignment. Используйте имя роли для RoleDefinitionName параметра и уникальный идентификатор удостоверения для ObjectId параметра.

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       ObjectId = "<your-principal-identifier>"
       RoleDefinitionName = "Azure Cosmos DB Control Plane Owner"
   }
   New-AzRoleAssignment @parameters
   

2. Просмотрите выходные данные команды . Выходные данные включают уникальный идентификатор назначения в свойстве RoleAssignmentId .

   RoleAssignmentName : ffffffff-5555-6666-7777-aaaaaaaaaaaa
   RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
   Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example
   DisplayName        : Kai Carter
   SignInName         : <kai@adventure-works.com>
   RoleDefinitionName : Azure Cosmos DB Control Plane Owner
   RoleDefinitionId   : e4e4e4e4-ffff-aaaa-bbbb-c5c5c5c5c5c5
   

   Примечание.

   В этом примере свойство является /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0 еще одним вымышленным примеромRoleAssignmentId. Это подмножество типичных выходных данных развертывания для ясности.

3. Повторите эти действия, чтобы предоставить доступ к учетной записи из любых других удостоверений, которые вы хотите использовать.

   Совет

   Эти действия можно повторить для столько удостоверений, сколько вы хотите. Как правило, эти шаги по крайней мере повторяются, чтобы разработчики могли получать доступ к учетной записи с помощью человеческого удостоверения и разрешать приложениям доступ с помощью управляемого удостоверения.

Проверка доступа уровня управления в коде

Наконец, убедитесь, что вы правильно предоставили доступ с помощью кода приложения и пакета SDK для управления Azure на предпочитаемом языке программирования.

C#

using Azure.Identity;
using Azure.ResourceManager;

DefaultAzureCredential credential = new();

ArmClient client = new(credential);

Внимание

В этом примере кода используются Azure.ResourceManager.CosmosDB и Azure.Identity библиотеки из NuGet.

JavaScript

const { CosmosDBManagementClient } = require('@azure/arm-cosmosdb');
const { DefaultAzureCredential } = require('@azure/identity');

const subscriptionId = "<subscription-id>";

const credential = new DefaultAzureCredential();

const client = new CosmosDBManagementClient(credential, subscriptionId);

Внимание

В этом примере кода используются @azure/arm-cosmosdb и @azure/identity библиотеки из npm.

TypeScript

import { CosmosDBManagementClient } from '@azure/arm-cosmosdb';
import { TokenCredential, DefaultAzureCredential } from '@azure/identity';

let subscriptionId: string = "<subscription-id>";

let credential: TokenCredential = new DefaultAzureCredential();

const client: CosmosDBManagementClient = new CosmosDBManagementClient(credential, subscriptionId);

Внимание

В этом примере кода используются @azure/arm-cosmosdb и @azure/identity библиотеки из npm.

Python

from azure.mgmt.cosmosdb import CosmosDBManagementClient
from azure.identity import DefaultAzureCredential

subscription_id = "<subscription-id>"

credential = DefaultAzureCredential()

client = CosmosDBManagementClient(credential=credential, subscription=subscription_id)

Внимание

В этом примере кода используются azure-mgmt-cosmosdb библиотеки и azure-identity библиотеки из PyPI.

Go

package main

import (
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
    "github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/cosmos/armcosmos"
)

const subscriptionId = "<subscription-id>"

func main() {
    credential, _ := azidentity.NewDefaultAzureCredential(nil)
    
    client, _ := armcosmos.NewDatabaseClient(subscriptionId, credential, nil)
}

Внимание

В этом примере кода используются библиотеки azure/azure-sdk-for-go/sdk/resourcemanager/cosmos/armcosmos и azure/azure-sdk-for-go/sdk/azidentity библиотеки из Go.

Java

package com.example;

import com.azure.core.management.profile.AzureProfile;
import com.azure.core.management.AzureEnvironment;
import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.resourcemanager.cosmos.CosmosManager;

public class CosmosDB {
    public static void main(String[] args) {
        AzureProfile profile = new AzureProfile(AzureEnvironment.AZURE);
        DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
          .build();

        CosmosManager manager = CosmosManager.authenticate(credential, profile);
    }
}

Внимание

В этом примере кода используются com.azure.resourcemanager/azure-resourcemanager-cosmos библиотеки com.azure/azure-identity и библиотеки из Maven.

Следующий шаг

Предоставление доступа на основе ролей уровня ролей для удостоверений