Diretrizes de segurança para o Azure Cosmos DB para NoSQL
APLICA-SE A: 
NoSQL
Diagrama da sequência do guia de implantação, incluindo esses locais, na ordem: Visão geral, Conceitos, Preparar, Controle de acesso baseado em função, Rede e Referência. O local 'Visão geral' está atualmente destacado.
Ao trabalhar com o Azure Cosmos DB para NoSQL, é importante garantir que os usuários e aplicativos autorizados tenham acesso aos dados, evitando o acesso não intencional ou não autorizado.
Embora o uso de chaves e credenciais de senha do proprietário do recurso possa parecer uma opção conveniente, não é recomendado devido a vários motivos. Em primeiro lugar, esses métodos não têm a robustez e a flexibilidade fornecidas pela autenticação do Microsoft Entra. O Microsoft Entra oferece recursos de segurança aprimorados, como autenticação multifator e políticas de acesso condicional, que reduzem consideravelmente o risco de acesso não autorizado. Ao usar o Microsoft Entra, você pode melhorar significativamente a postura de segurança de seus aplicativos e proteger dados confidenciais contra ameaças potenciais.
Gerir o acesso
O controle de acesso baseado em função usando o Microsoft Entra oferece a capacidade de gerenciar quais usuários, dispositivos ou cargas de trabalho podem acessar seus dados e até que ponto eles podem acessar esses dados. O uso de permissões refinadas em uma definição de função oferece a flexibilidade de impor a entidade de segurança de "menor privilégio", mantendo o acesso aos dados simples e simplificado para desenvolvimento.
Conceder acesso em produção
Em aplicativos de produção, o Microsoft Entra oferece muitos tipos de identidade, incluindo, mas não limitado a:
- Identidades de carga de trabalho para cargas de trabalho de aplicativos específicos
- Identidades gerenciadas atribuídas pelo sistema nativas de um serviço do Azure
- Identidades gerenciadas atribuídas pelo usuário que podem ser reutilizadas de forma flexível entre vários serviços do Azure
- Entidades de serviço para cenários personalizados e mais sofisticados
- Identidades de dispositivo para cargas de trabalho de borda
Com essas identidades, você pode conceder a aplicativos de produção específicos ou cargas de trabalho acesso refinado para consultar, ler ou manipular recursos no Azure Cosmos DB.
Conceder acesso em desenvolvimento
Em desenvolvimento, o Microsoft Entra oferece o mesmo nível de flexibilidade para as identidades humanas do seu desenvolvedor. Você pode usar as mesmas definições de controle de acesso baseadas em função e técnicas de atribuição para conceder aos desenvolvedores acesso a contas de banco de dados de teste, preparo ou desenvolvimento.
Sua equipe de segurança tem um único conjunto de ferramentas para gerenciar identidades e permissões para suas contas em todos os seus ambientes.
Agilize o código de autenticação
Com o SDK do Azure, as técnicas usadas para acessar dados do Azure Cosmos DB programaticamente em muitos cenários diferentes:
- Se a sua aplicação estiver em desenvolvimento ou produção
- Se você estiver usando identidades humanas, de carga de trabalho, gerenciadas ou de dispositivo
- Se sua equipe preferir usar a CLI do Azure, o Azure PowerShell, a CLI do Desenvolvedor do Azure, o Visual Studio ou o Visual Studio Code
- Se sua equipe usa Python, JavaScript, TypeScript, .NET, Go ou Java
O SDK do Azure fornece uma biblioteca de identidades compatível com muitas plataformas, linguagem de desenvolvimento e técnicas de autenticação. Depois de aprender a habilitar a autenticação do Microsoft Entra, a técnica permanece a mesma em todos os seus cenários. Não há necessidade de criar pilhas de autenticação distintas para cada ambiente.