Partilhar via


Diretrizes de segurança para o Azure Cosmos DB for Table

Diagrama do local atual ('Visão geral') na sequência do guia de implantação.

Diagrama da sequência do guia de implantação, incluindo esses locais, na ordem: Visão geral, Conceitos, Preparar, Controle de acesso baseado em função, Rede e Referência. O local 'Visão geral' está atualmente destacado.

Ao trabalhar com o Azure Cosmos DB for Table, é importante garantir que os usuários e aplicativos autorizados tenham acesso aos dados, evitando o acesso não intencional ou não autorizado.

Embora o uso de chaves e credenciais de senha do proprietário do recurso possa parecer uma opção conveniente, não é recomendado devido a vários motivos. Em primeiro lugar, esses métodos não têm a robustez e a flexibilidade fornecidas pela autenticação do Microsoft Entra. O Microsoft Entra oferece recursos de segurança aprimorados, como autenticação multifator e políticas de acesso condicional, que reduzem consideravelmente o risco de acesso não autorizado. Ao usar o Microsoft Entra, você pode melhorar significativamente a postura de segurança de seus aplicativos e proteger dados confidenciais contra ameaças potenciais.

Gerir o acesso

O controle de acesso baseado em função usando o Microsoft Entra oferece a capacidade de gerenciar quais usuários, dispositivos ou cargas de trabalho podem acessar seus dados e até que ponto eles podem acessar esses dados. O uso de permissões refinadas em uma definição de função oferece a flexibilidade de impor a entidade de segurança de "menor privilégio", mantendo o acesso aos dados simples e simplificado para desenvolvimento.

Conceder acesso em produção

Em aplicativos de produção, o Microsoft Entra oferece muitos tipos de identidade, incluindo, mas não limitado a:

  • Identidades de carga de trabalho para cargas de trabalho de aplicativos específicos
  • Identidades gerenciadas atribuídas pelo sistema nativas de um serviço do Azure
  • Identidades gerenciadas atribuídas pelo usuário que podem ser reutilizadas de forma flexível entre vários serviços do Azure
  • Entidades de serviço para cenários personalizados e mais sofisticados
  • Identidades de dispositivo para cargas de trabalho de borda

Com essas identidades, você pode conceder a aplicativos de produção específicos ou cargas de trabalho acesso refinado para consultar, ler ou manipular recursos no Azure Cosmos DB.

Conceder acesso em desenvolvimento

Em desenvolvimento, o Microsoft Entra oferece o mesmo nível de flexibilidade para as identidades humanas do seu desenvolvedor. Você pode usar as mesmas definições de controle de acesso baseadas em função e técnicas de atribuição para conceder aos desenvolvedores acesso a contas de banco de dados de teste, preparo ou desenvolvimento.

Sua equipe de segurança tem um único conjunto de ferramentas para gerenciar identidades e permissões para suas contas em todos os seus ambientes.

Agilize o código de autenticação

Com o SDK do Azure, as técnicas usadas para acessar dados do Azure Cosmos DB programaticamente em muitos cenários diferentes:

  • Se a sua aplicação estiver em desenvolvimento ou produção
  • Se você estiver usando identidades humanas, de carga de trabalho, gerenciadas ou de dispositivo
  • Se sua equipe preferir usar a CLI do Azure, o Azure PowerShell, a CLI do Desenvolvedor do Azure, o Visual Studio ou o Visual Studio Code
  • Se sua equipe usa Python, JavaScript, TypeScript, .NET, Go ou Java

O SDK do Azure fornece uma biblioteca de identidades compatível com muitas plataformas, linguagem de desenvolvimento e técnicas de autenticação. Depois de aprender a habilitar a autenticação do Microsoft Entra, a técnica permanece a mesma em todos os seus cenários. Não há necessidade de criar pilhas de autenticação distintas para cada ambiente.

Próximo passo