Abrufen primärer, sekundärer, Lese- oder Lese-/Schreibzugriffsschlüssel in Azure Cosmos DB

Artikel
10/07/2024

GILT FÜR: NoSQL MongoDB Cassandra Gremlin Tabelle

Primäre/sekundäre Schlüssel ermöglichen den Zugriff auf alle Verwaltungsressourcen für das Datenbankkonto. Primäre/sekundäre Schlüssel:

Ermöglichen den Zugriff auf Konten, Datenbanken, Benutzer und Berechtigungen.
Können nicht zur präzisen Steuerung des Zugriffs auf Container und Dokumente verwendet werden.
Werden im Zuge der Kontoerstellung erstellt.
Können jederzeit neu generiert werden.

Wichtig

Microsoft empfiehlt, immer den sichersten Authentifizierungsflow zu verwenden. Der in diesem Verfahren beschriebene Authentifizierungsflow erfordert ein sehr hohes Maß an Vertrauen in die Anwendung und birgt Risiken, die bei anderen Flows nicht vorhanden sind. Sie sollten diesen Flow nur verwenden, wenn andere sicherere Flows (z. B. verwaltete Identitäten) nicht anwendbar sind.

Für Azure Cosmos DB ist die Microsoft Entra-Authentifizierung der sicherste Authentifizierungsmechanismus verfügbar. Lesen Sie den entsprechenden Sicherheitsleitfaden für Ihre API:

Azure Cosmos DB for NoSQL

Jedes Konto umfasst zwei Schlüssel: einen primären und einen sekundären Schlüssel. Dank der Verwendung von zwei Schlüsseln können Sie Schlüssel neu generieren oder ersetzen und trotzdem ohne Unterbrechung auf Ihr Konto und Ihre Daten zugreifen.

Primäre/sekundäre Schlüssel sind in zwei Versionen verfügbar: mit Lese-/Schreibzugriff und als schreibgeschützt. Die schreibgeschützten Schlüssel ermöglichen ausschließlich Lesevorgänge für das Konto. Sie bieten keinen Zugriff auf Leseberechtigungsressourcen.

Voraussetzungen

Ein vorhandenes Azure Cosmos DB-Konto

Abrufen des Primärschlüssels

Der Primärschlüssel kann in der Regel mithilfe der Azure-Portal oder durch Automatisierung gefunden werden.

Verwenden Sie die Azure-Portal, um eine der vier integrierten Tasten abzurufen:

Primärer Lese-/Schreibzugriff
Primär schreibgeschützt
Sekundärer Lese-/Schreibzugriff
Sekundärer schreibgeschützt

Melden Sie sich beim Azure-Portal (https://portal.azure.com) an.
Navigieren Sie zu Ihrem vorhandenen Azure Cosmos DB-Konto.
Wählen Sie im Bereich "Kontoressource" im Abschnitt "Einstellungen" des Dienstmenüs die Option "Schlüssel" aus.
Suchen und aufzeichnen Sie den Wert der Felder "Primärschlüssel " oder "Sekundärschlüssel " im Abschnitt "Read-write Keys " oder "Read-only ".

Tipp

Möglicherweise müssen Sie die Tasten vor der Aufzeichnung ihrer Werte anzeigen. Standardmäßig sind die Schlüssel ausgeblendet.

Verwenden Sie dieses Azure CLI-Skript, um Schlüssel oder Verbindungszeichenfolge von Ihrem Azure Cosmos DB-Konto abzurufen.

az cosmosdb keys list \
    --resource-group "<name-of-existing-resource-group>" \
    --name "<name-of-existing-account>" \
    --type "keys"

Warnung

Azure CLI gibt eine Warnung an, dass die Ausgabe Ihrer geheimen Schlüssel die Sicherheit für Ihr Konto beeinträchtigen könnte.

--type Zu den Argumentoptionen gehören:

connection-strings
keys
read-only-keys

Weitere Informationen finden Sie unter az cosmosdb keys list.

Verwenden Sie dieses Azure PowerShell-Skript, um Schlüssel oder Verbindungszeichenfolge aus Ihrem Azure Cosmos DB-Konto abzurufen.

$parameters = @{
    ResourceGroupName = "<name-of-existing-resource-group>"
    Name = "<name-of-existing-account>"
    Type = "Keys"
}
Get-AzCosmosDBAccountKey @parameters

Type Zu den Parameteroptionen gehören:

ConnectionStrings
Keys
ReadOnlyKeys

Weitere Informationen finden Sie unter Get-AzCosmosDBAccountKey.

Diese Bicep-Vorlage gibt alle Anmeldeinformationen für ein vorhandenes Azure Cosmos DB-Konto aus.

metadata description = 'Gets all keys and connection strings for an Azure Cosmos DB account.'

@description('The name of the Azure Cosmos DB account.')
param accountName string

resource account 'Microsoft.DocumentDB/databaseAccounts@2024-05-15' existing = {
  name: accountName
}

output endpoint string = account.properties.documentEndpoint

var keys = account.listKeys()

output keys object = {
  primary: {
    readWrite: keys.primaryMasterKey
    readOnly: keys.primaryReadonlyMasterKey
  }
  secondary: {
    readWrite: keys.secondaryMasterKey
    readOnly: keys.secondaryReadonlyMasterKey
  }
}

var connectionStrings = account.listConnectionStrings()

output connectionStrings object = {
  primary: {
    readWrite: connectionStrings.connectionStrings[0].connectionString
    readOnly: connectionStrings.connectionStrings[1].connectionString
  }
  secondary: {
    readWrite: connectionStrings.connectionStrings[2].connectionString
    readOnly: connectionStrings.connectionStrings[3].connectionString
  }
}

Warnung

Diese Bicep-Vorlage löst eine Linter-Warnung für Bicep aus. Im Idealfall sollten Produktions-Bicep-Vorlagen keine geheimen Schlüssel ausgeben. In diesem Beispiel wird diese Linter-Warnung absichtlich nicht unterdrückt. Weitere Informationen finden Sie unter linter-Regel – Ausgaben sollten keine geheimen Schlüssel enthalten.

Implementieren der Schlüsseldrehung

Freigeben über

Abrufen primärer, sekundärer, Lese- oder Lese-/Schreibzugriffsschlüssel in Azure Cosmos DB

Voraussetzungen

Abrufen des Primärschlüssels

Zusätzliche Ressourcen

Freigeben über

Abrufen primärer, sekundärer, Lese- oder Lese-/Schreibzugriffsschlüssel in Azure Cosmos DB

Voraussetzungen

Abrufen des Primärschlüssels

Zugehöriger Inhalt

Zusätzliche Ressourcen