Azure Cosmos DB должен иметь доступ на чтение к Cosmos DB, но ключи чтения не должны быть видны

Эта ниже определенная роль показывает раздел ключей, а прочитанные ключи видны. Какие изменения необходимо внести выше роли, чтобы было разрешение на чтение для учетной записи Cosmos DB, но ключи не должны быть видны

используя это разрешение роли

{
  "Name": "CosmosDbtest1",
  "Id": "a1b2c3d4",
  "IsCustom": true,
  "Description": "To test the read access for keys",
  "Actions": [
    "Microsoft.Authorization/*/read",
    "Microsoft.DocumentDB/*/read",
    "Microsoft.DocumentDB/databaseAccounts/readonlykeys/action",
    "Microsoft.Resources/subscriptions/resourceGroups/read",
    
  ],
  "NotActions": 
  [
  "Microsoft.DocumentDB/databaseAccounts/listKeys/action",
  "Microsoft.DocumentDB/databaseAccounts/readonlykeys/read"
  ],
  "AssignableScopes": [
    "/subscriptions/"1234"]
}
Как установить LAMP Stack - Security 5/5 на виртуальную машину Azure Linux VM
Как установить LAMP Stack - Security 5/5 на виртуальную машину Azure Linux VM
В предыдущей статье мы завершили установку базы данных, для тех, кто не знает.
Как установить LAMP Stack 1/2 на Azure Linux VM
Как установить LAMP Stack 1/2 на Azure Linux VM
В дополнение к нашему предыдущему сообщению о намерении Azure прекратить поддержку Azure Database для MySQL в качестве единого сервера после 16...
0
0
65
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Вы можете выполнить следующие действия, чтобы ограничить доступ к ключу в Azure Cosmos DB.

Я создал пользовательскую роль, как показано ниже.

Ограничить разрешение:

JSON:

{
    "id": "/providers/Microsoft.Authorization/roleDefinitions/fbdf93bf-df7d-xxxx-xxxx-9458aa1360c8",
    "properties": {
        "roleName": "Cosmos DB Account Reader Role",
        "description": "Can read Azure Cosmos DB Accounts data",
        "assignableScopes": [
            "/"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Authorization/*/read",
                    "Microsoft.DocumentDB/*/read",
                   
                    "Microsoft.Insights/MetricDefinitions/read",
                    "Microsoft.Insights/Metrics/read",
                    "Microsoft.Resources/subscriptions/resourceGroups/read",
                    "Microsoft.Support/*"
                ],
                "notActions": [
                 "Microsoft.DocumentDB/databaseAccounts/readonlykeys/action",
                ],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

После создания пользовательской роли назначьте пользователю те же роли, что и ниже.

Откройте Azure Cosmos DB > Управление доступом (IAM) > добавить > Добавить назначение роли.

Назначение пользователя:

Если бы я попытался войти в систему с тем же пользователем, я получил бы следующий результат.

Это также блокирует проводник данных, не может просматривать базу данных, коллекции или документы.

techzouk 21.02.2023 11:44

@techzouk, исследователь данных на портале Azure, использует ключи доступа в качестве учетных данных. Таким образом, невозможно включить проводник данных, не раскрывая ключи доступа.

NotFound 21.02.2023 15:17

Другие вопросы по теме