Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Toegangsbeheer is een essentieel onderdeel van het beveiligen van Azure Cosmos DB voor MongoDB vCore-clusters. Op rollen gebaseerd toegangsbeheer van Azure (RBAC) biedt een gecentraliseerd mechanisme voor het toewijzen en afdwingen van machtigingen via Microsoft Entra-id, zodat alleen geautoriseerde identiteiten bewerkingen op uw clusters kunnen uitvoeren. In plaats van te vertrouwen op handmatig accountbeheer, maakt RBAC fijnmazige, op rollen gebaseerde toewijzingen mogelijk die schaalbaar zijn met uw omgeving. Deze aanpak vereenvoudigt governance, ondersteunt beginselen met minimale bevoegdheden en maakt controle eenvoudig. Organisaties kunnen de operationele integriteit en naleving behouden naarmate de implementaties toenemen.
Het beheren van toegang in Azure Cosmos DB voor MongoDB vCore omvat twee verschillende niveaus:
- Machtigingen voor het cluster beheren als een Azure-resource.
- Machtigingen voor databases en bewerkingen in het cluster beheren.
Op rollen gebaseerd toegangsbeheer van Azure (RBAC) voor clusters als Azure-resources
Op rollen gebaseerd toegangsbeheer van Azure (RBAC) is essentieel voor het beheren van toegang tot Azure Cosmos DB voor MongoDB vCore-clusters. Het biedt een uniforme, veilige en schaalbare manier om te bepalen wie bewerkingen op uw clusters kan uitvoeren. Dankzij de integratie met Microsoft Entra ID biedt RBAC gecentraliseerde controle over identiteiten en toegang tot azure-resources, waarmee u de naleving van de beveiligingsstandaarden van ondernemingen kunt handhaven. Deze aanpak elimineert de risico's van onbeheerde inloggegevens en handmatige inrichting van gebruikers, terwijl gedetailleerde machtigingen worden geboden voor beheerder-, lezen en schrijven-, en alleen lezen-rollen. Voor organisaties die bedrijfskritieke workloads uitvoeren, biedt RBAC belangrijke voordelen: verbeterde beveiliging via toegang met minimale bevoegdheden, operationele consistentie in omgevingen en vereenvoudigde governance voor grootschalige implementaties. Naarmate uw gegevensomgeving groeit, zorgt RBAC ervoor dat toegangsbeleid consistent, controleerbaar blijft en is afgestemd op wettelijke vereisten. Teams kunnen met vertrouwen samenwerken zonder de integriteit van gegevens in gevaar te brengen.
Azure Cosmos DB voor MongoDB vCore ondersteunt Azure RBAC voor mongoCluster resourcetype. De volgende acties voor mongoCluster het resourcetype zijn beschikbaar in Azure RBAC voor afzonderlijke toewijzingen en het maken van aangepaste RBAC-rollen.
| Handeling | Description |
|---|---|
| Microsoft.DocumentDB/mongoClusters/read | U leest een mongoCluster-resource of geeft een lijst van alle mongoCluster-resources weer. |
| Microsoft.DocumentDB/mongoClusters/write | De eigenschappen of tags van de opgegeven mongoCluster resource maken of bijwerken. |
| Microsoft.DocumentDB/mongoClusters/delete | Hiermee verwijdert u de opgegeven mongoCluster resource. |
| Microsoft.DocumentDB/mongoClusters/PrivateEndpointConnectionsApproval/action | De privé-eindpuntverbinding van mongoCluster resource beheren |
| Microsoft.DocumentDB/mongoClusters/listConnectionStrings/action | Verbindingsreeksen voor een bepaalde mongoCluster resource weergeven |
| Microsoft.DocumentDB/mongoClusters/firewallRules/read | Leest een firewallregel of vermeldt alle firewallregels voor de opgegeven mongoCluster resource. |
| Microsoft.DocumentDB/mongoClusters/firewallRules/write | Een firewallregel voor een opgegeven mongoCluster resource maken of bijwerken. |
| Microsoft.DocumentDB/mongoClusters/firewallRules/delete | Hiermee verwijdert u een bestaande firewallregel voor de opgegeven mongoCluster resource. |
| Microsoft.DocumentDB/mongoClusters/privateEndpointConnectionProxies/read | Leest een proxy voor een privé-eindpuntverbinding voor de opgegeven mongoCluster resource. |
| Microsoft.DocumentDB/mongoClusters/privateEndpointConnectionProxies/write | Een privé-eindpuntverbindingsproxy maken of bijwerken voor een opgegeven mongoCluster resource. |
| Microsoft.DocumentDB/mongoClusters/privateEndpointConnectionProxies/delete | Hiermee verwijdert u een bestaande proxy voor een privé-eindpuntverbinding voor de opgegeven mongoCluster resource. |
| Microsoft.DocumentDB/mongoClusters/privateEndpointConnectionProxies/validate/action | Valideert de proxy voor de privé-eindpuntverbinding voor de opgegeven mongoCluster resource. |
| Microsoft.DocumentDB/mongoClusters/privateEndpointConnections/read | Hiermee wordt een privé-eindpuntverbinding gelezen of worden alle privé-eindpuntverbindingen voor de opgegeven mongoCluster resource weergegeven. |
| Microsoft.DocumentDB/mongoClusters/privateEndpointConnections/write | Een privé-eindpuntverbinding maken of bijwerken voor een opgegeven mongoCluster resource. |
| Microsoft.DocumentDB/mongoClusters/privateEndpointConnections/delete | Hiermee verwijdert u een bestaande privé-eindpuntverbinding voor de opgegeven mongoCluster resource. |
| Microsoft.DocumentDB/mongoClusters/privateLinkResources/read | Leest een private link-resource of geeft een lijst weer van alle private link-resources voor de opgegeven mongoCluster resource. |
| Microsoft.DocumentDB/mongoClusters/users/read | Leest een gebruiker of geeft een lijst weer van alle gebruikers voor de opgegeven mongoCluster resource. |
| Microsoft.DocumentDB/mongoClusters/users/write | Een gebruiker voor een opgegeven mongoCluster resource maken of bijwerken. |
| Microsoft.DocumentDB/mongoClusters/users/delete | Hiermee verwijdert u een bestaande gebruiker voor de opgegeven mongoCluster resource. |
Op rollen gebaseerd toegangsbeheer (RBAC) voor de database
Systeemeigen DocumentDB-administratieve gebruikers en Entra ID-administratieve beheerders in het cluster hebben volledige lees- en schrijfrechten op het cluster, inclusief volledige bevoegdheden voor het gebruikersbeheer.
Systeemeigen DocumentDB-gebruikers zonder beheerdersrechten en Entra-ID-gebruikers zonder beheerdersrechten en beveiligingsprincipes worden aangemaakt en krijgen privileges toegekend op clusterniveau voor alle databases op dat cluster. De rollen readWriteAnyDatabase en clusterAdmin verlenen samen volledige lees-/schrijfmachtigingen voor het cluster, inclusief bevoegdheden voor databasebeheer en databasebewerkingen. De rol readAnyDatabase wordt gebruikt om alleen-lezenmachtigingen voor het cluster te verlenen.
Opmerking
Alleen volledige lees-/schrijfgebruikers met databasebeheer- en databasebewerkingsbevoegdheden worden ondersteund. U kunt de rollen readWriteAnyDatabase en clusterAdmin niet afzonderlijk toewijzen.
Niet-beheerders (secundaire) gebruikers en beveiligingsprinciplen krijgen de volgende beperkte machtigingen voor gebruikersbeheer op het cluster:
| Beveiligingsprovider | Rol | CreateUser | DeleteUser | UpdateUser | Gebruikerslijst |
|---|---|---|---|---|---|
| Entra-id | Lezen en schrijven (readWriteAnyDatabase, clusterAdmin) | ❌ | ❌ | ❌ | ✔️ |
| Entra-id | Alleen-lezen (readAnyDatabase) | ❌ | ❌ | ❌ | ✔️ |
| Inheemse DocumentDB | Lezen en Schrijven (readWriteAnyDatabase, clusterAdmin) | ❌ | ❌ | Alleen om hun eigen wachtwoord te wijzigen | ✔️ |
| Ingebouwde DocumentDB | Alleen-lezen (readAnyDatabase) | ❌ | ❌ | Alleen om hun eigen wachtwoord te wijzigen | ✔️ |