Få åtkomst till Azure Key Vault från Azure Cosmos DB med hjälp av en hanterad identitet

GÄLLER FÖR: NoSQL MongoDB Kassandra Gremlin Bord

Azure Cosmos DB kan behöva läsa hemliga/viktiga data från Azure Key Vault. Din Azure Cosmos DB kan till exempel kräva en kundhanterad nyckel som lagras i Azure Key Vault. För att göra detta bör Azure Cosmos DB konfigureras med en hanterad identitet och sedan bör en Azure Key Vault-åtkomstprincip bevilja åtkomst till den hanterade identiteten.

Förutsättningar

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
• Ett befintligt Azure Cosmos DB-API för NoSQL-konto. Skapa ett Azure Cosmos DB-API för NoSQL-konto
• En befintlig Azure Key Vault-resurs. Skapa ett nyckelvalv med Hjälp av Azure CLI
• Om du vill utföra stegen i den här artikeln installerar du Azure CLI och loggar in på Azure.

Kravkontroll

1. I ett terminal- eller kommandofönster lagrar du namnen på din Azure Key Vault-resurs, Azure Cosmos DB-konto och resursgrupp som gränssnittsvariabler med namnet keyVaultName, cosmosNameoch resourceGroupName.

   # Variable for function app name
   keyVaultName="msdocs-keyvault"
   
   # Variable for Azure Cosmos DB account name
   cosmosName="msdocs-cosmos-app"
   
   # Variable for resource group name
   resourceGroupName="msdocs-cosmos-keyvault-identity"
   

   Kommentar

   Dessa variabler kommer att återanvändas i senare steg. Det här exemplet förutsätter att ditt Azure Cosmos DB-kontonamn är msdocs-cosmos-app, ditt nyckelvalvnamn är msdocs-keyvault och resursgruppens namn är msdocs-cosmos-keyvault-identity.

Skapa en systemtilldelad hanterad identitet i Azure Cosmos DB

Skapa först en systemtilldelad hanterad identitet för det befintliga Azure Cosmos DB-kontot.

1. Kör az cosmosdb identity assign för att skapa en ny systemtilldelad hanterad identitet.

   az cosmosdb identity assign \
       --resource-group $resourceGroupName \
       --name $cosmosName 
   

2. Hämta metadata för den systemtilldelade hanterade identiteten med , az cosmosdb identity showfiltrera för att bara returnera principalId egenskapen med frågeparametern och lagra resultatet i en gränssnittsvariabel med namnet principal.

   principal=$(
       az cosmosdb identity show \
           --resource-group $resourceGroupName \
           --name $cosmosName \
           --query principalId \
           --output tsv
   )
   
   echo $principal
   

   Kommentar

   Den här variabeln kommer att återanvändas i ett senare steg.

Skapa en Azure Key Vault-åtkomstprincip

I det här steget skapar du en åtkomstprincip i Azure Key Vault med hjälp av den tidigare hanterade identiteten.

1. az keyvault set-policy Använd kommandot för att skapa en åtkomstprincip i Azure Key Vault som ger azure Cosmos DB-hanterad identitet behörighet att komma åt Key Vault. Mer specifikt använder principen nyckelbehörighetsparametrarna för att bevilja behörigheter till get, listoch import nycklar.

   az keyvault set-policy \
       --name $keyVaultName \
       --object-id $principal \
       --key-permissions get list import
   

Nästa steg

• Information om hur du använder kundhanterade nycklar i Azure Key Vault med ditt Azure Cosmos DB-konto finns i konfigurera kundhanterade nycklar
• Information om hur du använder Azure Key Vault för att hantera hemligheter finns i Säkra autentiseringsuppgifter.