Mengonfigurasi identitas terkelola dengan Microsoft Entra ID untuk akun Azure Cosmos DB Anda

Artikel
08/15/2024

BERLAKU UNTUK: NoSQL MongoDB Cassandra Gremlin Meja

Identitas terkelola untuk sumber daya Azure memberikan layanan Azure identitas terkelola otomatis di Microsoft Entra ID. Artikel ini memperlihatkan cara membuat identitas terkelola untuk akun Azure Cosmos DB.

Prasyarat

Jika Anda asing dengan identitas terkelola untuk sumber daya Azure, lihat Apa itu identitas terkelola untuk sumber daya Azure?. Untuk mempelajari tentang jenis identitas terkelola, lihat Jenis identitas terkelola.
Untuk menyiapkan identitas terkelola, akun Anda harus memiliki peran Kontributor Akun DocumentDB.

Tambahkan identitas yang ditetapkan sistem

Menggunakan portal Azure

Untuk mengaktifkan identitas terkelola yang ditetapkan sistem pada akun Azure Cosmos DB yang ada, navigasikan ke akun Anda di portal Microsoft Azure dan pilih Identitas dari menu kiri.

Entri menu Identitas

Pada tab Sistem yang ditetapkan, alihkan Status ke Aktif dan pilih Simpan. Anda akan diminta untuk mengkonfirmasi pembuatan identitas terkelola yang ditugaskan sistem.

Mengaktifkan identitas yang ditetapkan sistem

Setelah identitas dibuat dan ditetapkan, Anda dapat mengambil ID Objek (utama).

Mengambil ID objek dari identitas yang ditetapkan sistem

Menggunakan templat Azure Resource Manager (ARM)

Penting

Pastikan untuk menggunakan apiVersion dari 2021-03-15 atau lebih tinggi saat bekerja dengan identitas terkelola.

Untuk mengaktifkan identitas yang ditetapkan sistem pada akun Azure Cosmos DB baru atau yang sudah ada, sertakan properti berikut dalam definisi sumber daya:

"identity": {
    "type": "SystemAssigned"
}

Bagian resources templat ARM Anda kemudian akan tampak seperti berikut ini:

"resources": [
    {
        "type": " Microsoft.DocumentDB/databaseAccounts",
        "identity": {
            "type": "SystemAssigned"
        },
        // ...
    },
    // ...
]

Setelah akun Azure Cosmos DB Anda dibuat atau diperbarui, akun tersebut akan menampilkan properti berikut:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Menggunakan Cli Azure

Untuk mengaktifkan identitas yang ditetapkan sistem saat membuat akun Azure Cosmos DB baru, tambahkan opsi --assign-identity:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb create \
    -n $accountName \
    -g $resourceGroupName \
    --locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
    --assign-identity

Anda juga dapat menambahkan identitas yang ditetapkan sistem pada akun yang sudah ada menggunakan perintah az cosmosdb identity assign:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity assign \
    -n $accountName \
    -g $resourceGroupName

Setelah akun Azure Cosmos DB Anda dibuat atau diperbarui, Anda dapat mengambil identitas yang ditetapkan dengan perintah az cosmosdb identity show:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity show \
    -n $accountName \
    -g $resourceGroupName

{
    "type": "SystemAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Menambahkan identitas yang ditetapkan pengguna

Menggunakan portal Azure

Untuk mengaktifkan identitas terkelola yang ditetapkan sistem pada akun Azure Cosmos DB yang ada, navigasikan ke akun Anda di portal Microsoft Azure dan pilih Identitas dari menu kiri.

Entri menu Identitas

Di bawah bagian yang ditetapkan pengguna, pilih + Tambahkan.

Mengaktifkan identitas yang ditetapkan pengguna

Temukan dan pilih semua identitas yang ingin Anda tetapkan ke akun Azure Cosmos DB Anda, lalu pilihTambahkan.

Memilih semua identitas untuk ditetapkan

Menggunakan templat Azure Resource Manager (ARM)

Penting

Pastikan untuk menggunakan apiVersion dari 2021-03-15 atau lebih tinggi saat bekerja dengan identitas terkelola.

Untuk mengaktifkan identitas yang ditetapkan sistem pada akun Azure Cosmos DB baru atau yang sudah ada, sertakan properti berikut dalam definisi sumber daya:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<identity-resource-id>": {}
    }
}

Bagian resources templat ARM Anda kemudian akan tampak seperti berikut ini:

"resources": [
    {
        "type": " Microsoft.DocumentDB/databaseAccounts",
        "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
                "<identity-resource-id>": {}
            }
        },
        // ...
    },
    // ...
]

Setelah akun Azure Cosmos DB Anda dibuat atau diperbarui, akun tersebut akan menampilkan properti berikut:

"identity": {
    "type": "UserAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Menggunakan Cli Azure

Untuk mengaktifkan identitas yang ditetapkan pengguna saat membuat akun Azure Cosmos DB baru, tambahkan opsi --assign-identity dan lewati ID sumber daya identitas yang ingin Anda tetapkan:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb create \
    -n $accountName \
    -g $resourceGroupName \
    --locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
    --assign-identity <identity-resource-id>

Anda juga dapat menambahkan identitas yang ditetapkan sistem pada akun yang sudah ada menggunakan perintah az cosmosdb identity assign:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity assign \
    -n $accountName \
    -g $resourceGroupName
    --identities <identity-resource-id>

Setelah akun Azure Cosmos DB Anda dibuat atau diperbarui, Anda dapat mengambil identitas yang ditetapkan dengan perintah az cosmosdb identity show:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity show \
    -n $accountName \
    -g $resourceGroupName

{
    "type": "UserAssigned",
    "tenantId": "<azure-ad-tenant-id>",
    "principalId": "<azure-ad-principal-id>"
}

Hapus identitas yang ditetapkan sistem atau identitas yang ditetapkan pengguna

Menggunakan templat Azure Resource Manager (ARM)

Penting

Pastikan untuk menggunakan apiVersion dari 2021-03-15 atau lebih tinggi saat bekerja dengan identitas terkelola.

Untuk menghapus identitas yang ditetapkan sistem dari akun Azure Cosmos DB Anda, atur properti type dari identity menjadi None:

"identity": {
    "type": "None"
}

Menggunakan Cli Azure

Untuk menghapus identitas yang ditetapkan sistem dari akun Azure Cosmos DB Anda, gunakan perintah az cosmosdb identity remove:

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'

az cosmosdb identity remove \
    -n $accountName \
    -g $resourceGroupName

Langkah berikutnya

Tutorial: Menyimpan dan menggunakan kredensial Azure Cosmos DB dengan Azure Key Vault

Pelajari selengkapnya tentang identitas terkelola untuk sumber daya Azure
Pelajari selengkapnya tentang kunci yang kelola pelanggan di Azure Cosmos DB

Bagikan melalui

Mengonfigurasi identitas terkelola dengan Microsoft Entra ID untuk akun Azure Cosmos DB Anda

Prasyarat

Tambahkan identitas yang ditetapkan sistem

Menggunakan portal Azure

Menggunakan templat Azure Resource Manager (ARM)

Menggunakan Cli Azure

Menambahkan identitas yang ditetapkan pengguna

Menggunakan portal Azure

Menggunakan templat Azure Resource Manager (ARM)

Menggunakan Cli Azure

Hapus identitas yang ditetapkan sistem atau identitas yang ditetapkan pengguna

Menggunakan templat Azure Resource Manager (ARM)

Menggunakan Cli Azure

Langkah berikutnya

Saran dan Komentar

Sumber Daya Tambahan: