รักษาความปลอดภัย Cosmos DB ของคุณในฐานข้อมูล Microsoft Fabric

Cosmos DB ใน Microsoft Fabric เป็นฐานข้อมูล NoSQL ที่ปรับให้เหมาะสมกับ AI ซึ่งกําหนดค่าโดยอัตโนมัติสําหรับความต้องการการพัฒนาทั่วไปด้วยประสบการณ์การจัดการที่ง่ายดาย ผ้าให้การรักษาความปลอดภัยที่มีอยู่ภายใน การควบคุมการเข้าถึง และการตรวจสอบสําหรับ Cosmos DB ใน Fabric ในขณะที่ Fabric มีคุณลักษณะการรักษาความปลอดภัยที่มีอยู่ภายในเพื่อปกป้องข้อมูลของคุณ สิ่งสําคัญคือการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเพื่อเพิ่มความปลอดภัยของบัญชี ข้อมูล และการกําหนดค่าเครือข่ายของคุณ

บทความนี้ให้คําแนะนําเกี่ยวกับวิธีการรักษาความปลอดภัยที่ดีที่สุดสําหรับ Cosmos DB ของคุณในการปรับใช้ Fabric

การจัดการข้อมูลเอกลักษณ์

• ใช้ข้อมูลประจําตัวที่มีการจัดการเพื่อเข้าถึงบัญชีของคุณจากบริการอื่น ๆ ของ Azure: ข้อมูลประจําตัวที่มีการจัดการไม่จําเป็นต้องจัดการข้อมูลประจําตัวโดยการให้ข้อมูลประจําตัวที่มีการจัดการโดยอัตโนมัติใน Microsoft Entra ID ใช้ข้อมูลประจําตัวที่มีการจัดการเพื่อเข้าถึง Cosmos DB อย่างปลอดภัยจากบริการ Azure อื่น ๆ โดยไม่ต้องฝังข้อมูลประจําตัวในรหัสของคุณ ในขณะที่ Cosmos DB ใน Fabric สนับสนุนชนิดของข้อมูลประจําตัวหลายชนิด (บริการหลัก) ข้อมูลประจําตัวที่มีการจัดการเป็นตัวเลือกที่ต้องการเนื่องจากไม่ต้องการโซลูชันของคุณเพื่อจัดการข้อมูลประจําตัวโดยตรง สําหรับข้อมูลเพิ่มเติม โปรดดูที่การรับรองความถูกต้องจากบริการโฮสต์ Azure

• ใช้การรับรองความถูกต้อง Entra เพื่อคิวรี สร้าง และเข้าถึงรายการภายในคอนเทนเนอร์ขณะพัฒนาโซลูชัน: เข้าถึงรายการภายในคอนเทนเนอร์ Cosmos DB โดยใช้ข้อมูลประจําตัวของมนุษย์และการรับรองความถูกต้อง Microsoft Entra บังคับใช้การเข้าถึงสิทธิ์การใช้งานน้อยที่สุดสําหรับการคิวรี การสร้าง และการดําเนินการอื่น ๆ ตัวควบคุมนี้จะช่วยรักษาความปลอดภัยในการดําเนินการข้อมูลของคุณ สําหรับข้อมูลเพิ่มเติม ให้ดู เชื่อมต่ออย่างปลอดภัยจากสภาพแวดล้อมการพัฒนาของคุณ

• แยกข้อมูลประจําตัว Azure ที่ใช้สําหรับข้อมูลและควบคุมการเข้าถึงแผน: ใช้ข้อมูลประจําตัว Azure ที่แตกต่างกันสําหรับการควบคุมเครื่องบินและการดําเนินงานแผนข้อมูลเพื่อลดความเสี่ยงของการเลื่อนระดับสิทธิ์และรับประกันการควบคุมการเข้าถึงที่ดีขึ้น การแยกนี้ช่วยเพิ่มความปลอดภัยโดยการจํากัดขอบเขตของข้อมูลเฉพาะตัวแต่ละข้อมูล สําหรับข้อมูลเพิ่มเติม โปรดดู กําหนดค่าการให้สิทธิ์

สิทธิ์ผู้ใช้

• กําหนดค่าการเข้าถึงพื้นที่ทํางานของ Fabric ที่อนุญาตน้อยที่สุด: มีการบังคับใช้สิทธิ์ของผู้ใช้ตามระดับการเข้าถึงพื้นที่ทํางานปัจจุบัน หากผู้ใช้ถูกลบออกจากพื้นที่ทํางาน Fabric จะสูญเสียการเข้าถึงฐานข้อมูล Cosmos DB และข้อมูลเบื้องต้นที่เกี่ยวข้องโดยอัตโนมัติ สําหรับข้อมูลเพิ่มเติม ให้ดู แบบจําลองสิทธิ์ Fabric

บริบทการดําเนินการและข้อควรพิจารณาเกี่ยวกับข้อมูลประจําตัว

• ทําความเข้าใจข้อมูลประจําตัวของการดําเนินการสมุดบันทึก: เมื่อทํางานกับสมุดบันทึกในพื้นที่ทํางาน Fabric โปรดทราบว่าสิ่งประดิษฐ์ Fabric จะดําเนินการด้วยข้อมูลประจําตัวของผู้ใช้ที่สร้างสิ่งประดิษฐ์เสมอ ซึ่งหมายความว่าสิทธิ์การเข้าถึงข้อมูลและเส้นทางการตรวจสอบจะสะท้อนถึงตัวตนของผู้สร้างสมุดบันทึก ไม่ใช่ตัวตนของผู้ดําเนินการ วางแผนกลยุทธ์การสร้างและแชร์โน้ตบุ๊กของคุณให้สอดคล้องกันเพื่อให้แน่ใจว่ามีการควบคุมการเข้าถึงที่เหมาะสม

• วางแผนสําหรับข้อจํากัดข้อมูลประจําตัวของพื้นที่ทํางาน: ขณะนี้ Fabric ไม่รองรับ run-as ฟังก์ชันการทํางานกับ Workspace Identity การดําเนินการดําเนินการด้วยข้อมูลประจําตัวของผู้ใช้ที่สร้างขึ้นแทนที่จะเป็นข้อมูลประจําตัวของพื้นที่ทํางานที่ใช้ร่วมกัน พิจารณาสิ่งนี้เมื่อออกแบบสถานการณ์ที่มีผู้ใช้หลายคน และตรวจสอบให้แน่ใจว่าผู้ใช้ที่เหมาะสมสร้างสิ่งประดิษฐ์ที่จะใช้ร่วมกันภายในพื้นที่ทํางาน

เนื้อหาที่เกี่ยวข้อง

• เรียนรู้เกี่ยวกับ Cosmos DB ใน Microsoft Fabric
• รับรองความถูกต้องโดยใช้ Microsoft Entra ID กับ Cosmos DB ใน Microsoft Fabric
• จัดการการรับรองความถูกต้องใน Cosmos DB ใน Microsoft Fabric