Azure Cosmos DB for Apache Cassandra のセキュリティ ガイダンス
適用対象: 
Cassandra
Azure Cosmos DB for Cassandra を使用する場合は、意図しないアクセスや未承認のアクセスを防ぎながら、許可されているユーザーとアプリケーションがデータにアクセスできるようにすることが重要です。
キーおよびリソース所有者のパスワード資格情報の使用は便利なオプションのように思えますが、いくつかの理由により推奨されません。 まず、これらの方法は、Microsoft Entra 認証によって実現する堅牢性と柔軟性に欠けています。 Microsoft Entra には、多要素認証や条件付きアクセス ポリシーなどの強化されたセキュリティ機能が用意されており、これにより不正アクセスのリスクが大幅に軽減されます。 Microsoft Entra を使用すると、アプリケーションのセキュリティ態勢を大幅に強化し、潜在的な脅威から機密データを保護することができます。
アクセスを管理する
Microsoft Entra を使用したロールベースのアクセス制御では、どのユーザー、デバイス、またはワークロードがデータにアクセスできるか、およびそのデータにどの程度までアクセスできるかを管理できます。 詳細に設定されたアクセス許可をロールの定義で使用すると、"最小限の特権" のセキュリティ プリンシパルを柔軟に適用しながら、開発のためのデータ アクセスをシンプルかつ効率的に保つことができます。
運用環境でアクセス権を付与する
運用アプリケーションでは、Microsoft Entra は ID の種類を多数提供しています。これには以下が含まれますが、これに限定されません。
- 特定のアプリケーション ワークロードのワークロード ID
- Azure サービスにネイティブなシステム割り当てマネージド ID
- 複数の Azure サービス間で柔軟に再利用できるユーザー割り当てマネージド ID
- カスタム シナリオおよびより高度なシナリオ用のサービス プリンシパル
- エッジ ワークロードのデバイス ID
このような ID を使用すると、Azure Cosmos DB 内のリソースに対してクエリ、読み取り、操作を実行するために、詳細に設定されたアクセス権を、特定の運用アプリケーションまたはワークロードに付与することができます。
開発環境でアクセス権を付与する
開発中、Microsoft Entra により、開発者の人間の ID で同じレベルの柔軟性が実現します。 同じロールベースのアクセス制御の定義と割り当て手法を使用して、テスト、ステージング、または開発データベース アカウントへのアクセス権を開発者に付与できます。
セキュリティ チームには、すべての環境でアカウントの ID とアクセス許可を管理するための 1 つのツール スイートがあります。
認証コードを効率化する
Azure SDK を使用して、さまざまなシナリオでプログラムから Azure Cosmos DB データにアクセスするときに使用される手法を次に示します。
- アプリケーションが開発環境または運用環境にある場合
- 人間、ワークロード、マネージド、またはデバイスの ID を使用している場合
- チームにより Azure CLI、Azure PowerShell、Azure Developer CLI、Visual Studio、または Visual Studio Code の使用が優先される場合
- チームが Python、JavaScript、TypeScript、.NET、Go、または Java を使用している場合
Azure SDK には、多くのプラットフォーム、開発言語、認証手法と互換性のある ID ライブラリが用意されています。 Microsoft Entra 認証を有効にする方法を一度学習すれば、その手法は、すべてのシナリオで同じままです。 環境ごとに認証スタックを個別に構築する必要はありません。