Эта ниже определенная роль показывает раздел ключей, а прочитанные ключи видны. Какие изменения необходимо внести выше роли, чтобы было разрешение на чтение для учетной записи Cosmos DB, но ключи не должны быть видны
используя это разрешение роли
{
"Name": "CosmosDbtest1",
"Id": "a1b2c3d4",
"IsCustom": true,
"Description": "To test the read access for keys",
"Actions": [
"Microsoft.Authorization/*/read",
"Microsoft.DocumentDB/*/read",
"Microsoft.DocumentDB/databaseAccounts/readonlykeys/action",
"Microsoft.Resources/subscriptions/resourceGroups/read",
],
"NotActions":
[
"Microsoft.DocumentDB/databaseAccounts/listKeys/action",
"Microsoft.DocumentDB/databaseAccounts/readonlykeys/read"
],
"AssignableScopes": [
"/subscriptions/"1234"]
}
Вы можете выполнить следующие действия, чтобы ограничить доступ к ключу в Azure Cosmos DB.
Я создал пользовательскую роль, как показано ниже.
Ограничить разрешение:
JSON:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/fbdf93bf-df7d-xxxx-xxxx-9458aa1360c8",
"properties": {
"roleName": "Cosmos DB Account Reader Role",
"description": "Can read Azure Cosmos DB Accounts data",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.DocumentDB/*/read",
"Microsoft.Insights/MetricDefinitions/read",
"Microsoft.Insights/Metrics/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.DocumentDB/databaseAccounts/readonlykeys/action",
],
"dataActions": [],
"notDataActions": []
}
]
}
}
После создания пользовательской роли назначьте пользователю те же роли, что и ниже.
Откройте Azure Cosmos DB > Управление доступом (IAM) > добавить > Добавить назначение роли.
Назначение пользователя:
Если бы я попытался войти в систему с тем же пользователем, я получил бы следующий результат.
@techzouk, исследователь данных на портале Azure, использует ключи доступа в качестве учетных данных. Таким образом, невозможно включить проводник данных, не раскрывая ключи доступа.
Это также блокирует проводник данных, не может просматривать базу данных, коллекции или документы.