Uzyskiwanie podstawowych, pomocniczych, odczytu lub odczytu kluczy zapisu w usłudze Azure Cosmos DB

Artykuł
10/07/2024

DOTYCZY: NoSQL MongoDB Kasandra Gremlin Stół

Klucze podstawowe/pomocnicze zapewniają dostęp do wszystkich zasobów administracyjnych dla konta bazy danych. Klucze podstawowe/pomocnicze:

Zapewnianie dostępu do kont, baz danych, użytkowników i uprawnień.
Nie można użyć do zapewnienia szczegółowego dostępu do kontenerów i dokumentów.
Są tworzone podczas tworzenia konta.
Można je ponownie wygenerować w dowolnym momencie.

Ważne

Firma Microsoft zaleca korzystanie z najbezpieczniejszego dostępnego przepływu uwierzytelniania. Przepływ uwierzytelniania opisany w tej procedurze wymaga bardzo wysokiego poziomu zaufania w aplikacji i niesie ze sobą ryzyko, które nie występują w innych przepływach. Tego przepływu należy używać tylko wtedy, gdy inne bezpieczniejsze przepływy, takie jak tożsamości zarządzane, nie są opłacalne.

W przypadku usługi Azure Cosmos DB uwierzytelnianie firmy Microsoft Entra jest najbezpieczniejszym dostępnym mechanizmem uwierzytelniania. Zapoznaj się z odpowiednim przewodnikiem dotyczącym zabezpieczeń interfejsu API:

Azure Cosmos DB for NoSQL

Każde konto składa się z dwóch kluczy: klucza podstawowego i klucza pomocniczego. Celem kluczy podwójnych jest ponowne wygenerowanie lub wycofanie kluczy, zapewniając ciągły dostęp do konta i danych.

Klucze podstawowe/pomocnicze są dostępne w dwóch wersjach: tylko do odczytu i zapisu. Klucze tylko do odczytu zezwalają na operacje odczytu na koncie. Nie zapewniają one dostępu do zasobów uprawnień do odczytu.

Wymagania wstępne

Istniejące konto usługi Azure Cosmos DB

Pobieranie klucza podstawowego

Klucz podstawowy może zwykle znajdować się przy użyciu witryny Azure Portal lub automatyzacji.

Użyj witryny Azure Portal, aby uzyskać jeden z czterech wbudowanych kluczy:

Podstawowy odczyt-zapis
Podstawowy tylko do odczytu
Pomocniczy zapis do odczytu
Pomocniczy tryb tylko do odczytu

Zaloguj się do witryny Azure Portal (https://portal.azure.com).
Przejdź do istniejącego konta usługi Azure Cosmos DB.
W okienku zasobów konta wybierz pozycję Klucze w sekcji Ustawienia menu usługi.
Znajdź i zapisz wartość pól Klucz podstawowy lub Klucz pomocniczy w sekcji Klucze odczytu i zapisu lub Tylko do odczytu.

Napiwek

Może być konieczne wyświetlenie kluczy przed zarejestrowaniem ich wartości. Domyślnie klucze są ukryte.

Użyj tego skryptu interfejsu wiersza polecenia platformy Azure, aby uzyskać klucze lub parametry połączenia z konta usługi Azure Cosmos DB.

az cosmosdb keys list \
    --resource-group "<name-of-existing-resource-group>" \
    --name "<name-of-existing-account>" \
    --type "keys"

Ostrzeżenie

Interfejs wiersza polecenia platformy Azure wyświetli ostrzeżenie, że wyprowadzenie wpisów tajnych może naruszyć bezpieczeństwo twojego konta.

--type Opcje argumentów obejmują:

connection-strings
keys
read-only-keys

Aby uzyskać więcej informacji, zobacz az cosmosdb keys list.

Użyj tego skryptu programu Azure PowerShell, aby uzyskać klucze lub parametry połączenia z konta usługi Azure Cosmos DB.

$parameters = @{
    ResourceGroupName = "<name-of-existing-resource-group>"
    Name = "<name-of-existing-account>"
    Type = "Keys"
}
Get-AzCosmosDBAccountKey @parameters

Type Opcje parametrów obejmują:

ConnectionStrings
Keys
ReadOnlyKeys

Aby uzyskać więcej informacji, zobacz Get-AzCosmosDBAccountKey.

W tym przykładzie szablon Bicep generuje wszystkie poświadczenia dla istniejącego konta usługi Azure Cosmos DB.

metadata description = 'Gets all keys and connection strings for an Azure Cosmos DB account.'

@description('The name of the Azure Cosmos DB account.')
param accountName string

resource account 'Microsoft.DocumentDB/databaseAccounts@2024-05-15' existing = {
  name: accountName
}

output endpoint string = account.properties.documentEndpoint

var keys = account.listKeys()

output keys object = {
  primary: {
    readWrite: keys.primaryMasterKey
    readOnly: keys.primaryReadonlyMasterKey
  }
  secondary: {
    readWrite: keys.secondaryMasterKey
    readOnly: keys.secondaryReadonlyMasterKey
  }
}

var connectionStrings = account.listConnectionStrings()

output connectionStrings object = {
  primary: {
    readWrite: connectionStrings.connectionStrings[0].connectionString
    readOnly: connectionStrings.connectionStrings[1].connectionString
  }
  secondary: {
    readWrite: connectionStrings.connectionStrings[2].connectionString
    readOnly: connectionStrings.connectionStrings[3].connectionString
  }
}

Ostrzeżenie

Ten szablon Bicep wyzwoli ostrzeżenie linter dla Bicep. Najlepiej, aby produkcyjne szablony Bicep nie zwracały wpisów tajnych. Ten przykład celowo nie supress tego ostrzeżenia linter. Aby uzyskać więcej informacji, zobacz linter rule — outputs should not contain secrets (Reguła linter — dane wyjściowe nie powinny zawierać wpisów tajnych).

Implementowanie rotacji kluczy

Udostępnij za pośrednictwem

Uzyskiwanie podstawowych, pomocniczych, odczytu lub odczytu kluczy zapisu w usłudze Azure Cosmos DB

Wymagania wstępne

Pobieranie klucza podstawowego

Dodatkowe zasoby

Udostępnij za pośrednictwem

Uzyskiwanie podstawowych, pomocniczych, odczytu lub odczytu kluczy zapisu w usłudze Azure Cosmos DB

Wymagania wstępne

Pobieranie klucza podstawowego

Powiązana zawartość

Dodatkowe zasoby