Я использую ListConnectionStrings в шаблоне ARM для получения строк подключения из CosmosDB.
{listConnectionStrings(resourceId(cosmosDBSubscription, cosmosDBResourceGroup,'Microsoft.DocumentDB/databaseAccounts', cosmosdbAccount), '2022-08-15').connectionStrings[2].connectionString}
Индекс 2 возвращает основную строку подключения только для чтения. Я пытаюсь предоставить доступ к космосдб для приложений в другой подписке в автоматическом режиме. у меня два вопроса по этому поводу
Действие RBAC, предоставляющее разрешение на вызов строк подключения к списку,
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/*
Можно ограничить доступ к ключам только для чтения. Однако вам нужно добавить некоторые дополнительные действия RBAC, чтобы это было полезно. Роль читателя учетной записи Cosmos DB может делать то, что вам нужно.
Дополнительную информацию об управлении доступом на основе ролей Azure в Azure Cosmos DB можно найти здесь .
Да, «действия» дают разрешение, «недействия» убирают их при создании пользовательской роли.
Спасибо за Ваш ответ. На самом деле я хочу ограничить доступ к строке подключения только для чтения. listConnectionStrings/* дает доступ ко всем строкам подключения, верно?