Säkerhetsvägledning för Azure Cosmos DB för NoSQL
GÄLLER FÖR: NoSQL
Diagram över sekvensen i distributionsguiden, inklusive dessa platser, i ordning: Översikt, Begrepp, Förbereda, Rollbaserad åtkomstkontroll, Nätverk och Referens. Platsen Översikt är för närvarande markerad.
När du arbetar med Azure Cosmos DB för NoSQL är det viktigt att se till att behöriga användare och program har åtkomst till data samtidigt som oavsiktlig eller obehörig åtkomst förhindras.
När du använder nycklar och lösenordsautentiseringsuppgifter för resursägare kan det verka som ett praktiskt alternativ, men det rekommenderas inte på grund av flera orsaker. För det första saknar dessa metoder den robusthet och flexibilitet som tillhandahålls av Microsoft Entra-autentisering. Microsoft Entra erbjuder förbättrade säkerhetsfunktioner som multifaktorautentisering och principer för villkorlig åtkomst, vilket avsevärt minskar risken för obehörig åtkomst. Genom att använda Microsoft Entra kan du avsevärt förbättra säkerhetsstatusen för dina program och skydda känsliga data från potentiella hot.
Rollbaserad åtkomstkontroll med Microsoft Entra ger dig möjlighet att hantera vilka användare, enheter eller arbetsbelastningar som kan komma åt dina data och i vilken utsträckning de kan komma åt dessa data. Genom att använda detaljerade behörigheter i en rolldefinition får du flexibiliteten att framtvinga säkerhetsobjektet "minsta behörighet" samtidigt som dataåtkomsten är enkel och smidig för utveckling.
I produktionsprogram erbjuder Microsoft Entra många identitetstyper, inklusive, men inte begränsat till:
- Arbetsbelastningsidentiteter för specifika programarbetsbelastningar
- Systemtilldelade hanterade identiteter som är inbyggda i en Azure-tjänst
- Användartilldelade hanterade identiteter som kan återanvändas flexibelt mellan flera Azure-tjänster
- Tjänstens huvudnamn för anpassade och mer avancerade scenarier
- Enhetsidentiteter för gränsarbetsbelastningar
Med dessa identiteter kan du ge specifika produktionsprogram eller arbetsbelastningar detaljerad åtkomst till frågor, läsning eller manipulera resurser i Azure Cosmos DB.
Under utveckling erbjuder Microsoft Entra samma flexibilitetsnivå som utvecklarens mänskliga identiteter. Du kan använda samma rollbaserade definitioner för åtkomstkontroll och tilldelningstekniker för att ge utvecklarna åtkomst till test-, mellanlagrings- eller utvecklingsdatabaskonton.
Säkerhetsteamet har en enda uppsättning verktyg för att hantera identiteter och behörigheter för dina konton i alla dina miljöer.
Med Azure SDK används de tekniker som används för att komma åt Azure Cosmos DB-data programmatiskt i många olika scenarier:
- Om ditt program är under utveckling eller produktion
- Om du använder identiteter för människa, arbetsbelastning, hanterad eller enhet
- Om ditt team föredrar att använda Azure CLI, Azure PowerShell, Azure Developer CLI, Visual Studio eller Visual Studio Code
- Om ditt team använder Python, JavaScript, TypeScript, .NET, Go eller Java
Azure SDK tillhandahåller ett identitetsbibliotek som är kompatibelt med många plattformar, utvecklingsspråk och autentiseringstekniker. När du har lärt dig hur du aktiverar Microsoft Entra-autentisering förblir tekniken densamma i alla dina scenarier. Du behöver inte skapa distinkta autentiseringsstackar för varje miljö.