NoSQL için Azure Cosmos DB ile veri düzlemi rol tabanlı erişim denetimini kullanma

UYGULANANLAR: NoSQL

Şu konumlar da dahil olmak üzere dağıtım kılavuzu dizisinin şeması: Genel Bakış, Kavramlar, Hazırlama, Rol tabanlı erişim denetimi, Ağ ve Başvuru. 'Rol tabanlı erişim denetimi' konumu şu anda vurgulanmış durumda.

İpucu

Yeni uygulamalar oluşturmaya yönelik en son örnekler için yeni Örnekler Galerimizi ziyaret edin

Bu makalede, NoSQL için Azure Cosmos DB hesabındaki verileri yönetmek üzere kimlik erişimi verme adımları açıklanmaktadır.

Önemli

Bu makaledeki adımlar yalnızca tek tek öğelerde işlem gerçekleştirmek ve sorguları çalıştırmak için veri düzlemi erişimini kapsar. Denetim düzlemi için rolleri, tanımları ve atamaları yönetmeyi öğrenmek için bkz . Denetim düzlemine rol tabanlı erişim verme.

Önkoşullar

• Etkin aboneliği olan bir Azure hesabı. Ücretsiz hesap oluşturun.
• Mevcut bir NoSQL için Azure Cosmos DB hesabı.
• Microsoft Entra Id'de bir veya daha fazla mevcut kimlik.

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz . Azure Cloud Shell'de Bash için hızlı başlangıç.

  

• CLI başvuru komutlarını yerel olarak çalıştırmayı tercih ediyorsanız Azure CLI'yı yükleyin . Windows veya macOS üzerinde çalışıyorsanız Azure CLI’yi bir Docker kapsayıcısında çalıştırmayı değerlendirin. Daha fazla bilgi için bkz . Docker kapsayıcısında Azure CLI'yi çalıştırma.

  • Yerel yükleme kullanıyorsanız az login komutunu kullanarak Azure CLI ile oturum açın. Kimlik doğrulama işlemini tamamlamak için terminalinizde görüntülenen adımları izleyin. Diğer oturum açma seçenekleri için bkz . Azure CLI ile oturum açma.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma.

  • Yüklü sürümü ve bağımlı kitaplıkları bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

• Azure PowerShell'i yerel olarak kullanmayı seçerseniz:
  • Az PowerShell modülünün en son sürümünü yükleyin.
  • Connect-AzAccount cmdlet'ini kullanarak Azure hesabınıza bağlanın.
• Azure Cloud Shell'i kullanmayı seçerseniz:
  • Daha fazla bilgi için bkz . Azure Cloud Shell'e genel bakış.

Rol tanımını hazırlama

İlk olarak, NoSQL için Azure Cosmos DB'de verileri okuma, sorgulama ve yönetme erişimi vermek için listesiyle dataActions bir rol tanımı hazırlamanız gerekir.

Yerleşik tanım

Önemli

Mevcut bir veri düzlemi rol tanımını almak için şu denetim düzlemi izinleri gerekir:

• Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/read

Daha fazla bilgi için bkz . Denetim düzlemi rol tabanlı erişim verme.

kullanarak NoSQL için Azure Cosmos DB hesabınızla ilişkili tüm rol tanımlarını listeleyin az cosmosdb sql role definition list. Çıktıyı gözden geçirin ve Cosmos DB Yerleşik Veri Katkıda Bulunanı adlı rol tanımını bulun. Çıkış, özelliğindeki rol tanımının benzersiz tanımlayıcısını id içerir. Bu değeri, bu kılavuzun devamında yer alan atama adımında kullanılması gerektiği şekilde kaydedin.

az cosmosdb sql role definition list \
    --resource-group "<name-of-existing-resource-group>" \
    --account-name "<name-of-existing-nosql-account>"

[
  ...,
  {
    "assignableScopes": [
      "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql"
    ],
    "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/00000000-0000-0000-0000-000000000002",
    "name": "00000000-0000-0000-0000-000000000002",
    "permissions": [
      {
        "dataActions": [
          "Microsoft.DocumentDB/databaseAccounts/readMetadata",
          "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*",
          "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*"
        ],
        "notDataActions": []
      }
    ],
    "resourceGroup": "msdocs-identity-example",
    "roleName": "Cosmos DB Built-in Data Contributor",
    "type": "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions",
    "typePropertiesType": "BuiltInRole"
  }
  ...
]

Not

Bu örnekte id değeri olacaktır /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/00000000-0000-0000-0000-000000000002. Bu örnekte kurgusal veriler kullanılır ve tanımlayıcınız bu örnekten farklı olabilir.

NoSQL için Azure Cosmos DB hesabınızla ilişkili tüm rol tanımlarını listelemek için kullanın Get-AzCosmosDBSqlRoleDefinition . Çıktıyı gözden geçirin ve Cosmos DB Yerleşik Veri Katkıda Bulunanı adlı rol tanımını bulun. Çıkış, özelliğindeki rol tanımının benzersiz tanımlayıcısını Id içerir. Bu değeri, bu kılavuzun devamında yer alan atama adımında kullanılması gerektiği şekilde kaydedin.

$parameters = @{
    ResourceGroupName = "<name-of-existing-resource-group>"
    AccountName = "<name-of-existing-nosql-account>"
}
Get-AzCosmosDBSqlRoleDefinition @parameters

Id                         : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/00000000-0000-0000-0000-000000000002
RoleName                   : Cosmos DB Built-in Data Contributor
Type                       : BuiltInRole
AssignableScopes           : {/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccountsmsdocs-identity-example-nosql}
Permissions.DataActions    : {Microsoft.DocumentDB/databaseAccounts/readMetadata, Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*, Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*}
Permissions.NotDataActions : 

Not

Bu örnekte Id değeri olacaktır /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/00000000-0000-0000-0000-000000000002. Bu örnekte kurgusal veriler kullanılır ve tanımlayıcınız bu örnekten farklı olabilir. Ancak, tanımlayıcı (00000000-0000-0000-0000-000000000002) hesabınızdaki tüm rol tanımlarında benzersizdir.

Özel tanım

Önemli

Yeni bir veri düzlemi rol tanımı oluşturmak için şu denetim düzlemi izinleri gerekir:

• Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/read
• Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/write

Daha fazla bilgi için bkz . Denetim düzlemi rol tabanlı erişim verme.

Uyarı

NoSQL için Azure Cosmos DB'nin yerel rol tabanlı erişim denetimi özelliği desteklemez notDataActions . İzin verilen dataAction olarak belirtilmeyen tüm eylemler otomatik olarak dışlanır.

1. role-definition.json adlı yeni bir JSON dosyası oluşturun. Bu dosyada, burada listelenen veri eylemlerini belirten bir kaynak tanımı oluşturun:

   	Açıklama
   Microsoft.DocumentDB/databaseAccounts/readMetadata	Hesap düzeyinde meta verileri okuyabilir
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*	Kapsayıcı düzeyinde veri işlemleri gerçekleştirebilir
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*	Kapsayıcıları olan öğeler üzerinde herhangi bir işlem gerçekleştirebilir

   {
     "RoleName": "Azure Cosmos DB for NoSQL Data Plane Owner",
     "Type": "CustomRole",
     "AssignableScopes": [
       "/"
     ],
     "Permissions": [
       {
         "DataActions": [
           "Microsoft.DocumentDB/databaseAccounts/readMetadata",
           "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*",
           "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*"
         ]
       }
     ]
   }
   

2. Ardından rol tanımını oluşturmak için kullanın az cosmosdb sql role definition create . bağımsız değişkeninin girişi --body olarak role-definition.json kullanın.

   az cosmosdb sql role definition create \
       --resource-group "<name-of-existing-resource-group>" \
       --account-name "<name-of-existing-nosql-account>" \
       --body "@role-definition.json"
   

3. Şimdi kullanarak NoSQL için Azure Cosmos DB hesabınızla ilişkili tüm rol tanımlarını listeleyin az cosmosdb sql role definition list.

   az cosmosdb sql role definition list \
       --resource-group "<name-of-existing-resource-group>" \
       --account-name "<name-of-existing-nosql-account>"
   

4. Önceki komutun çıkışını gözden geçirin. NOSQL için Azure Cosmos DB Veri Düzlemi Sahibi adlı yeni oluşturduğunuz rol tanımını bulun. Çıkış, özelliğindeki rol tanımının benzersiz tanımlayıcısını id içerir. Bu değeri, bu kılavuzun devamında yer alan atama adımında kullanılması gerektiği şekilde kaydedin.

   {
     "assignableScopes": [
       "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql"
     ],
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/bbbbbbbb-1111-2222-3333-cccccccccccc",
     "name": "bbbbbbbb-1111-2222-3333-cccccccccccc",
     "permissions": [
       {
         "dataActions": [
           "Microsoft.DocumentDB/databaseAccounts/readMetadata",
           "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*",
           "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*"
         ],
         "notDataActions": []
       }
     ],
     "resourceGroup": "msdocs-identity-example",
     "roleName": "Azure Cosmos DB for NoSQL Data Plane Owner",
     "type": "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions",
     "typePropertiesType": "CustomRole"
   }
   

   Not

   Bu örnekte id değeri olacaktır /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/bbbbbbbb-1111-2222-3333-cccccccccccc. Bu örnekte kurgusal veriler kullanılır ve tanımlayıcınız bu örnekten farklı olabilir.

1. Rol tanımınızı tanımlamak için yeni bir Bicep dosyası oluşturun. Dosyayı data-plane-role-definition.bicep olarak adlandırın. Bunları dataActions tanıma ekleyin:

   	Açıklama
   Microsoft.DocumentDB/databaseAccounts/readMetadata	Hesap düzeyinde meta verileri okuyabilir
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*	Kapsayıcı düzeyinde veri işlemleri gerçekleştirebilir
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*	Kapsayıcıları olan öğeler üzerinde herhangi bir işlem gerçekleştirebilir

   metadata description = 'Create RBAC definition for data plane access to Azure Cosmos DB for NoSQL.'
   
   @description('Name of the Azure Cosmos DB for NoSQL account.')
   param accountName string
   
   @description('Name of the role definition.')
   param roleDefinitionName string = 'Azure Cosmos DB for NoSQL Data Plane Owner'
   
   resource account 'Microsoft.DocumentDB/databaseAccounts@2024-05-15' existing = {
     name: accountName
   }
   
   resource definition 'Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions@2024-05-15' = {
     name: guid(account.id, roleDefinitionName)
     parent: account
     properties: {
       roleName: roleDefinitionName
       type: 'CustomRole'
       assignableScopes: [
         account.id
       ]
       permissions: [
         {
           dataActions: [
             'Microsoft.DocumentDB/databaseAccounts/readMetadata'
             'Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*'
             'Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*'
           ]
         }
       ]
     }
   }
   
   output definitionId string = definition.id
   

2. data-plane-role-definition adlı yeni bir Bicep parametre dosyası oluşturun.bicepparam. Bu parametre dosyasında, mevcut NoSQL için Azure Cosmos DB hesabınızın adını parametresine atayın accountName .

   using './data-plane-role-definition.bicep'
   
   param accountName = '<name-of-existing-nosql-account>'
   

3. Kullanarak az deployment group createBicep şablonunu dağıtın.

   az deployment group create \
       --resource-group "<name-of-existing-resource-group>" \
       --parameters data-plane-role-definition.bicepparam \
       --template-file data-plane-role-definition.bicep
   

1. kullanarak New-AzCosmosDBSqlRoleDefinitionyeni bir rol tanımı oluşturun. parametresi için DataAction burada listelenen veri eylemlerini belirtin:

   	Açıklama
   Microsoft.DocumentDB/databaseAccounts/readMetadata	Hesap düzeyinde meta verileri okuyabilir
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*	Kapsayıcı düzeyinde veri işlemleri gerçekleştirebilir
   Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*	Kapsayıcıları olan öğeler üzerinde herhangi bir işlem gerçekleştirebilir

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       AccountName = "<name-of-existing-nosql-account>"
       RoleName = "Azure Cosmos DB for NoSQL Data Plane Owner"
       Type = "CustomRole"
       AssignableScope = @(
           "/"
       )
       DataAction = @(
           "Microsoft.DocumentDB/databaseAccounts/readMetadata",
           "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*",
           "Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*"
       )
   }
   New-AzCosmosDBSqlRoleDefinition @parameters
   

2. NoSQL için Azure Cosmos DB hesabınızla ilişkili tüm rol tanımlarını listelemek için kullanın Get-AzCosmosDBSqlRoleDefinition .

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       AccountName = "<name-of-existing-nosql-account>"
   }
   Get-AzCosmosDBSqlRoleDefinition @parameters    
   

3. Önceki komutun çıkışını gözden geçirin. NOSQL için Azure Cosmos DB Veri Düzlemi Sahibi adlı yeni oluşturduğunuz rol tanımını bulun. Çıkış, özelliğindeki rol tanımının benzersiz tanımlayıcısını Id içerir. Bu değeri, bu kılavuzun devamında yer alan atama adımında kullanılması gerektiği şekilde kaydedin.

   Id                         : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/bbbbbbbb-1111-2222-3333-cccccccccccc
   RoleName                   : Azure Cosmos DB for NoSQL Data Plane Owner
   Type                       : CustomRole
   AssignableScopes           : {/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql}
   Permissions.DataActions    : {Microsoft.DocumentDB/databaseAccounts/readMetadata, Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/items/*, Microsoft.DocumentDB/databaseAccounts/sqlDatabases/containers/*}
   Permissions.NotDataActions :
   

   Not

   Bu örnekte Id değeri olacaktır /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql/sqlRoleDefinitions/bbbbbbbb-1111-2222-3333-cccccccccccc. Bu örnekte kurgusal veriler kullanılır ve tanımlayıcınız bu örnekten farklı olabilir.

Kimliğe rol atama

Şimdi, uygulamalarınızın NoSQL için Azure Cosmos DB'deki verilere erişebilmesi için yeni tanımlanan rolü bir kimliğe atayın.

Önemli

Yeni bir veri düzlemi rol ataması oluşturmak için şu denetim düzlemi izinleri gerekir:

• Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/read
• Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read
• Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write

Daha fazla bilgi için bkz . Denetim düzlemi rol tabanlı erişim verme.

1. Geçerli hesabınızın benzersiz tanımlayıcısını almak için kullanın az cosmosdb show .

   az cosmosdb show \
       --resource-group "<name-of-existing-resource-group>" \
       --name "<name-of-existing-nosql-account>" \
       --query "{id:id}"
   

2. Önceki komutun çıkışını gözlemleyin. Sonraki adımda kullanılması gerektiği için bu hesabın özelliğinin değerini id kaydedin.

   {
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql"
   }
   

   Not

   Bu örnekte id değeri olacaktır /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql. Bu örnekte kurgusal veriler kullanılır ve tanımlayıcınız bu örnekten farklı olabilir.

3. kullanarak yeni rolü atayın az cosmosdb sql role assignment create. Bağımsız değişkende daha önce kaydedilmiş rol tanımı tanımlayıcılarını --role-definition-id ve bağımsız değişkende kimliğinizin benzersiz tanımlayıcısını --principal-id kullanın. Son olarak, bağımsız değişken için hesabınızın tanımlayıcısını --scope kullanın.

   az cosmosdb sql role assignment create \
       --resource-group "<name-of-existing-resource-group>" \
       --account-name "<name-of-existing-nosql-account>" \
       --role-definition-id "<id-of-new-role-definition>" \
       --principal-id "<id-of-existing-identity>" \
       --scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql"
   

4. NoSQL için Azure Cosmos DB hesabınızın tüm rol atamalarını listelemek için kullanın az cosmosdb sql role assignment list . Rol atamanızın oluşturulduğundan emin olmak için çıkışı gözden geçirin.

   az cosmosdb sql role assignment list \
       --resource-group "<name-of-existing-resource-group>" \
       --account-name "<name-of-existing-nosql-account>"
   

1. Rol atamanızı tanımlamak için yeni bir Bicep dosyası oluşturun. Dosyayı data-plane-role-assignment.bicep olarak adlandırın.

   metadata description = 'Assign RBAC role for data plane access to Azure Cosmos DB for NoSQL.'
   
   @description('Name of the Azure Cosmos DB for NoSQL account.')
   param accountName string
   
   @description('Id of the role definition to assign to the targeted principal in the context of the account.')
   param roleDefinitionId string
   
   @description('Id of the identity/principal to assign this role in the context of the account.')
   param identityId string
   
   resource account 'Microsoft.DocumentDB/databaseAccounts@2024-05-15' existing = {
     name: accountName
   }
   
   resource assignment 'Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments@2024-05-15' = {
     name: guid(roleDefinitionId, identityId, account.id)
     parent: account
     properties: {
       principalId: identityId
       roleDefinitionId: roleDefinitionId
       scope: account.id
     }
   }
   
   output assignmentId string = assignment.id
   

2. data-plane-role-assignment adlı yeni bir Bicep parametre dosyası oluşturun.bicepparam. Bu parametre dosyasında, mevcut NoSQL için Azure Cosmos DB hesabınızın adını parametresine accountName , daha önce kaydedilen rol tanımı tanımlayıcılarını parametresine roleDefinitionId ve kimliğinizin benzersiz tanımlayıcısını parametresine atayın identityId .

   using './data-plane-role-assignment.bicep'
   
   param accountName = '<name-of-existing-nosql-account>'
   param roleDefinitionId = '<id-of-new-role-definition>'
   param identityId = '<id-of-existing-identity>'
   

3. Kullanarak az deployment group createBicep şablonunu dağıtın.

   az deployment group create \
       --resource-group "<name-of-existing-resource-group>" \
       --parameters data-plane-role-assignment.bicepparam \
       --template-file data-plane-role-assignment.bicep
   

4. Kullanmak istediğiniz diğer kimliklerden hesaba erişim vermek için bu adımları yineleyin.

   İpucu

   İstediğiniz sayıda kimlik için bu adımları yineleyebilirsiniz. Genellikle, geliştiricilerin bir hesaba insan kimliklerini kullanarak erişmesine ve uygulamaların yönetilen kimlik kullanarak erişmesine izin vermek için bu adımlar en azından yinelenir.

1. Geçerli hesabınızın meta verilerini almak için kullanın Get-AzCosmosDBAccount .

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       Name = "<name-of-existing-nosql-account>"
   }    
   Get-AzCosmosDBAccount @parameters | Select -Property Id
   

2. Önceki komutun çıkışını gözlemleyin. Sonraki adımda kullanılması gerektiği için bu hesabın özelliğinin değerini Id kaydedin.

   Id
   --    
   /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql
   

   Not

   Bu örnekte Id değeri olacaktır /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql. Bu örnekte kurgusal veriler kullanılır ve tanımlayıcınız bu örnekten farklı olabilir.

3. Yeni rolü atamak için kullanın New-AzCosmosDBSqlRoleAssignment . Parametresinde daha önce kaydedilmiş rol tanımı tanımlayıcılarını RoleDefinitionId ve parametrede kimliğinizin benzersiz tanımlayıcısını PrincipalId kullanın. Son olarak, parametre için hesabınızın tanımlayıcısını Scope kullanın.

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       AccountName = "<name-of-existing-nosql-account>"
       RoleDefinitionId = "<id-of-new-role-definition>"
       PrincipalId = "<id-of-existing-identity>"
       Scope = "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/msdocs-identity-example/providers/Microsoft.DocumentDB/databaseAccounts/msdocs-identity-example-nosql"
   }    
   New-AzCosmosDBSqlRoleAssignment @parameters
   

4. kullanarak NoSQL için Azure Cosmos DB hesabınızın tüm rol atamalarını listeleyin Get-AzCosmosDBSqlRoleAssignment. Rol atamanızın oluşturulduğundan emin olmak için çıkışı gözden geçirin.

   $parameters = @{
       ResourceGroupName = "<name-of-existing-resource-group>"
       AccountName = "<name-of-existing-nosql-account>"
   }
   Get-AzCosmosDBSqlRoleAssignment @parameters
   

Kodda veri düzlemi erişimini doğrulama

Son olarak, tercih ettiğiniz programlama dilinde uygulama kodunu ve Azure SDK'yı kullanarak doğru erişim verdiğini doğrulayın.

C#

using Azure.Core;
using Azure.Identity;
using Microsoft.Azure.Cosmos;

string endpoint = "<account-endpoint>";

TokenCredential credential = new DefaultAzureCredential();

CosmosClient client = new(endpoint, credential);

Önemli

Bu kod örneği, NuGet'ten Microsoft.Azure.Cosmos ve Azure.Identity kitaplıklarını kullanır.

JavaScript

const { CosmosClient } = require('@azure/cosmos');
const { DefaultAzureCredential } = require('@azure/identity');

const endpoint = '<account-endpoint>';

const credential = new DefaultAzureCredential();

const client = new CosmosClient({ endpoint, aadCredentials:credential})

Önemli

Bu kod örneği, npm'den @azure/cosmos ve @azure/identity paketlerini kullanır.

TypeScript

import { CosmosClient, CosmosClientOptions } from '@azure/cosmos'
import { TokenCredential, DefaultAzureCredential } from '@azure/identity'

let endpoint: string = '<account-endpoint>';

let credential: TokenCredential = new DefaultAzureCredential();

let options: CosmosClientOptions = {
  endpoint: endpoint,
  aadCredentials: credential
};

const client: CosmosClient = new CosmosClient(options);

Önemli

Bu kod örneği, npm'den @azure/cosmos ve @azure/identity paketlerini kullanır.

Python

from azure.cosmos import CosmosClient
from azure.identity import DefaultAzureCredential

endpoint = "<account-endpoint>"

credential = DefaultAzureCredential()

client = CosmosClient(endpoint, credential=credential)

Önemli

Bu kod örneği, PyPI'den azure-cosmos ve azure-identity paketlerini kullanır.

Git

package main

import (
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
    "github.com/Azure/azure-sdk-for-go/sdk/data/azcosmos"
)

const endpoint = "<account-endpoint>"

func main() {
    credential, _ := azidentity.NewDefaultAzureCredential(nil)
    client, _ := azcosmos.NewClient(endpoint, credential, nil)
}

Önemli

Bu kod örneği Go'dan azure/azure-sdk-for-go/sdk/data/azcosmos azure/azure-sdk-for-go/azidentity gelen paketleri kullanır.

Java

import com.azure.cosmos.CosmosClient;
import com.azure.cosmos.CosmosClientBuilder;
import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;

public class NoSQL{
    public static void main(String[] args){
        DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
            .build();
        
        CosmosClient client = new CosmosClientBuilder()
            .endpoint("<account-endpoint>")
            .credential(credential);
            .buildClient();
    }
}

Önemli

Bu kod örnekleri Maven'dan com.azure/azure-cosmos ve com.azure/azure-identity paketlerini kullanır.