Kezelt azonosítók konfigurálása Microsoft Entra ID-vel Azure Cosmos DB fiókjához

Cikk
08/15/2024

A KÖVETKEZŐKRE VONATKOZIK: NoSQL MongoDB Cassandra Gremlin Asztal

Az Azure-erőforrásokhoz tartozó kezelt identitások az Azure-szolgáltatásokat automatikusan kezelt identitással látják el a Microsoft Entra ID-ban. Ez a cikk bemutatja, hogyan hozhat létre felügyelt identitást az Azure Cosmos DB-fiókokhoz.

Előfeltételek

Ha nem ismeri az Azure-erőforrások felügyelt identitását, olvassa el az Azure-erőforrások felügyelt identitásai című témakört. A felügyelt identitástípusokról a Felügyelt identitástípusok című témakörben olvashat.
A felügyelt identitások beállításához a fióknak Rendelkeznie kell a DocumentDB-fiók közreműködői szerepkörével.

Rendszer által hozzárendelt identitás hozzáadása

Az Azure Portal használatával

Ha egy meglévő Azure Cosmos DB-fiókon szeretné engedélyezni a rendszer által hozzárendelt felügyelt identitást, keresse meg a fiókját az Azure Portalon, és válassza az Identitás lehetőséget a bal oldali menüből.

Az Identitás menübejegyzés

A Rendszer által hozzárendelt szakaszban állítsa be az állapotot a Be gombra, és válassza a Mentés lehetőséget. A rendszer kérni fogja, hogy erősítse meg a rendszer által hozzárendelt felügyelt identitás létrehozását.

Rendszer által hozzárendelt identitás engedélyezése

Az identitás létrehozása és hozzárendelése után lekérheti az objektum (egyszerű) azonosítóját.

Rendszer által hozzárendelt identitás objektumazonosítójának lekérése

Azure Resource Manager-sablon (ARM) használata

Fontos

A felügyelt identitások használatakor mindenképpen használjon egy apiVersion 2021-03-15 vagy több azonosítót.

Ha új vagy meglévő Azure Cosmos DB-fiókon szeretne rendszer által hozzárendelt identitást engedélyezni, adja meg az alábbi tulajdonságot az erőforrásdefinícióban:

"identity": {
    "type": "SystemAssigned"
}

Az resources ARM-sablon szakaszának így kell kinéznie:

"resources": [
    {
        "type": " Microsoft.DocumentDB/databaseAccounts",
        "identity": {
            "type": "SystemAssigned"
        },
        // ...
    },
    // ...
]

Az Azure Cosmos DB-fiók létrehozása vagy frissítése után a következő tulajdonság jelenik meg:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Az Azure CLI-vel

Ha új Azure Cosmos DB-fiók létrehozásakor engedélyezni szeretné a rendszer által hozzárendelt identitást, adja hozzá a --assign-identity következő lehetőséget:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb create \
    -n $accountName \
    -g $resourceGroupName \
    --locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
    --assign-identity

Rendszer által hozzárendelt identitást is hozzáadhat egy meglévő fiókhoz a az cosmosdb identity assign következő paranccsal:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity assign \
    -n $accountName \
    -g $resourceGroupName

Az Azure Cosmos DB-fiók létrehozása vagy frissítése után lekérheti a következő paranccsal hozzárendelt identitást az cosmosdb identity show :

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity show \
    -n $accountName \
    -g $resourceGroupName

{
    "type": "SystemAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Felhasználó által hozzárendelt identitás hozzáadása

Az Azure Portal használatával

Ha egy felhasználó által hozzárendelt felügyelt identitást szeretne engedélyezni egy meglévő Azure Cosmos DB-fiókon, keresse meg a fiókját az Azure Portalon, és válassza az Identitás lehetőséget a bal oldali menüből.

Az Identitás menübejegyzés

A felhasználó által hozzárendelt szakaszban válassza a + Hozzáadás lehetőséget.

Felhasználó által hozzárendelt identitás engedélyezése

Keresse meg és válassza ki az Azure Cosmos DB-fiókhoz hozzárendelni kívánt összes identitást, majd válassza a Hozzáadás lehetőséget.

Az összes hozzárendelni kívánt identitás kijelölése

Azure Resource Manager-sablon (ARM) használata

Fontos

A felügyelt identitások használatakor mindenképpen használjon egy apiVersion 2021-03-15 vagy több azonosítót.

Ha egy felhasználó által hozzárendelt identitást szeretne engedélyezni egy új vagy meglévő Azure Cosmos DB-fiókon, az erőforrásdefinícióban adja meg a következő tulajdonságot:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<identity-resource-id>": {}
    }
}

Az resources ARM-sablon szakaszának így kell kinéznie:

"resources": [
    {
        "type": " Microsoft.DocumentDB/databaseAccounts",
        "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
                "<identity-resource-id>": {}
            }
        },
        // ...
    },
    // ...
]

Az Azure Cosmos DB-fiók létrehozása vagy frissítése után a következő tulajdonság jelenik meg:

"identity": {
    "type": "UserAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Az Azure CLI-vel

Ha új Azure Cosmos DB-fiók létrehozásakor engedélyezni szeretné a felhasználó által hozzárendelt identitást, adja hozzá a --assign-identity lehetőséget, és adja meg a hozzárendelni kívánt identitás erőforrás-azonosítóját:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb create \
    -n $accountName \
    -g $resourceGroupName \
    --locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
    --assign-identity <identity-resource-id>

Felhasználó által hozzárendelt identitást is hozzáadhat egy meglévő fiókhoz a az cosmosdb identity assign következő paranccsal:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity assign \
    -n $accountName \
    -g $resourceGroupName
    --identities <identity-resource-id>

Az Azure Cosmos DB-fiók létrehozása vagy frissítése után lekérheti a paranccsal hozzárendelt identitást az cosmosdb identity show :

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity show \
    -n $accountName \
    -g $resourceGroupName

{
    "type": "UserAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Rendszer által hozzárendelt vagy felhasználó által hozzárendelt identitás eltávolítása

Azure Resource Manager-sablon (ARM) használata

Fontos

A felügyelt identitások használatakor mindenképpen használjon egy apiVersion 2021-03-15 vagy több azonosítót.

Ha el szeretne távolítani egy rendszer által hozzárendelt identitást az Azure Cosmos DB-fiókból, állítsa a tulajdonság értékét a type identity következőre None:

"identity": {
    "type": "None"
}

Az Azure CLI-vel

Ha el szeretné távolítani az összes felügyelt identitást az Azure Cosmos DB-fiókból, használja a az cosmosdb identity remove következő parancsot:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity remove \
    -n $accountName \
    -g $resourceGroupName

Következő lépések

Oktatóanyag: Az Azure Cosmos DB hitelesítő adatainak tárolása és használata az Azure Key Vaulttal

További információ az Azure-erőforrások felügyelt identitásairól
További információ az ügyfél által felügyelt kulcsokról az Azure Cosmos DB-ben

Megosztás a következőn keresztül:

Kezelt azonosítók konfigurálása Microsoft Entra ID-vel Azure Cosmos DB fiókjához

Előfeltételek

Rendszer által hozzárendelt identitás hozzáadása

Az Azure Portal használatával

Azure Resource Manager-sablon (ARM) használata

Az Azure CLI-vel

Felhasználó által hozzárendelt identitás hozzáadása

Az Azure Portal használatával

Azure Resource Manager-sablon (ARM) használata

Az Azure CLI-vel

Rendszer által hozzárendelt vagy felhasználó által hozzárendelt identitás eltávolítása

Azure Resource Manager-sablon (ARM) használata

Az Azure CLI-vel

Következő lépések

Visszajelzés

További források