Obtenir des clés primaires, secondaires, lues ou en lecture-écriture dans Azure Cosmos DB

Article
10/07/2024

S’APPLIQUE À : NoSQL MongoDB Cassandra Gremlin Table

Les clés primaire/secondaire donnent accès à toutes les ressources administratives du compte de base de données. Clés primaire/secondaire :

Fournissent un accès aux comptes, aux bases de données, aux utilisateurs et aux autorisations.
Ne peuvent pas être utilisées pour fournir un accès précis aux conteneurs et aux documents.
Sont créées lors de la création d’un compte.
Peuvent être régénérées à tout moment.

Important

Microsoft vous recommande d’utiliser le flux d’authentification le plus sécurisé disponible. Le flux d'authentification décrit dans cette procédure demande un degré de confiance très élevé dans l'application et comporte des risques qui ne sont pas présents dans d'autres flux. Vous ne devez utiliser ce flux que si d’autres flux plus sécurisés, tels que les identités managées, ne sont pas viables.

Pour Azure Cosmos DB, l’authentification Microsoft Entra est le mécanisme d’authentification le plus sécurisé disponible. Passez en revue le guide de sécurité approprié pour votre API :

Azure Cosmos DB pour NoSQL

Chaque compte comporte deux clés : une clé primaire et une clé secondaire. L’objectif de ces paires de clés est de pouvoir regénérer ou restaurer des clés tout en fournissant un accès permanent à votre compte et à vos données.

Les clés primaire/secondaire sont disponibles en deux versions : lecture/écriture et lecture seule. Les clés en lecture seule autorisent uniquement les opérations de lecture sur le compte. Elles ne permettent pas de lire les ressources d’autorisation.

Prérequis

Un compte Azure Cosmos DB existant

Obtenir votre clé primaire

La clé primaire peut généralement se trouver à l’aide de la Portail Azure ou via l’automatisation.

Utilisez la Portail Azure pour obtenir l’une des quatre clés intégrées :

Lecture-écriture principale
Lecture seule principale
Lecture-écriture secondaire
Lecture seule secondaire

Connectez-vous au portail Azure (https://portal.azure.com).
Accédez à votre compte Azure Cosmos DB existant.
Dans le volet de ressources du compte, sélectionnez Clés dans la section Paramètres du menu de service.
Recherchez et enregistrez la valeur des champs Clé primaire ou Clé secondaire dans la section Clés en lecture seule ou en lecture seule .

Conseil

Vous devrez peut-être afficher les clés avant d’enregistrer leurs valeurs. Par défaut, les clés sont masquées.

Utilisez ce script Azure CLI pour obtenir des clés ou des chaîne de connexion à partir de votre compte Azure Cosmos DB.

az cosmosdb keys list \
    --resource-group "<name-of-existing-resource-group>" \
    --name "<name-of-existing-account>" \
    --type "keys"

Avertissement

Azure CLI affiche un avertissement indiquant que la sortie de vos secrets peut compromettre la sécurité de votre compte.

--type les options d’argument sont les suivantes :

connection-strings
keys
read-only-keys

Pour plus d’informations, consultez az cosmosdb keys list.

Utilisez ce script Azure PowerShell pour obtenir des clés ou des chaîne de connexion à partir de votre compte Azure Cosmos DB.

$parameters = @{
    ResourceGroupName = "<name-of-existing-resource-group>"
    Name = "<name-of-existing-account>"
    Type = "Keys"
}
Get-AzCosmosDBAccountKey @parameters

Type Les options de paramètre sont les suivantes :

ConnectionStrings
Keys
ReadOnlyKeys

Pour plus d’informations, consultez Get-AzCosmosDBAccountKey.

Cet exemple de modèle Bicep génère toutes les informations d’identification d’un compte Azure Cosmos DB existant.

metadata description = 'Gets all keys and connection strings for an Azure Cosmos DB account.'

@description('The name of the Azure Cosmos DB account.')
param accountName string

resource account 'Microsoft.DocumentDB/databaseAccounts@2024-05-15' existing = {
  name: accountName
}

output endpoint string = account.properties.documentEndpoint

var keys = account.listKeys()

output keys object = {
  primary: {
    readWrite: keys.primaryMasterKey
    readOnly: keys.primaryReadonlyMasterKey
  }
  secondary: {
    readWrite: keys.secondaryMasterKey
    readOnly: keys.secondaryReadonlyMasterKey
  }
}

var connectionStrings = account.listConnectionStrings()

output connectionStrings object = {
  primary: {
    readWrite: connectionStrings.connectionStrings[0].connectionString
    readOnly: connectionStrings.connectionStrings[1].connectionString
  }
  secondary: {
    readWrite: connectionStrings.connectionStrings[2].connectionString
    readOnly: connectionStrings.connectionStrings[3].connectionString
  }
}

Avertissement

Ce modèle Bicep déclenche un avertissement linter pour Bicep. Dans l’idéal, les modèles Bicep de production ne doivent pas générer de secrets. Cet exemple ne supresse intentionnellement pas cet avertissement linter. Pour plus d’informations, consultez la règle linter : les sorties ne doivent pas contenir de secrets.

Implémenter la rotation des clés

Partager via

Obtenir des clés primaires, secondaires, lues ou en lecture-écriture dans Azure Cosmos DB

Prérequis

Obtenir votre clé primaire

Ressources supplémentaires

Partager via

Obtenir des clés primaires, secondaires, lues ou en lecture-écriture dans Azure Cosmos DB

Prérequis

Obtenir votre clé primaire

Contenu connexe

Ressources supplémentaires