Ottenere chiavi primarie, secondarie, di lettura o di lettura/scrittura in Azure Cosmos DB

Articolo
10/07/2024

SI APPLICA A: NoSQL MongoDB Cassandra Gremlin Tabella

Le chiavi primarie e secondarie consentono di accedere a tutte le risorse amministrative per l'account di database. Chiavi primarie e secondarie:

Consentono di accedere ad account, database, utenti e autorizzazioni.
Non possono essere usate per fornire l'accesso granulare a contenitori e documenti.
Vengono create durante la creazione di un account.
Possono essere rigenerate in qualsiasi momento.

Importante

Microsoft consiglia di usare il flusso di autenticazione più sicuro disponibile. Il flusso di autenticazione descritto in questa procedura richiede un livello di attendibilità molto elevato nell'applicazione e comporta rischi che non sono presenti in altri flussi. Si consiglia di usare questo flusso solo quando altri flussi più sicuri, come le identità gestite, non sono validi.

Per Azure Cosmos DB, l'autenticazione Microsoft Entra è il meccanismo di autenticazione più sicuro disponibile. Esaminare la guida alla sicurezza appropriata per l'API:

Azure Cosmos DB for NoSQL

Ogni account è costituito da due chiavi: una chiave primaria e una chiave secondaria. Lo scopo delle due chiavi è consentire la rigenerazione o la rotazione delle chiavi mantenendo l'accesso continuo ai dati e all'account.

Le chiavi primarie e secondarie sono disponibili in due versioni: lettura/scrittura e sola lettura. Le chiavi di sola lettura consentono solo operazioni di lettura sull'account. Non forniscono l'accesso in lettura alle risorse di autorizzazione.

Prerequisiti

Un account Azure Cosmos DB esistente

Ottenere la chiave primaria

La chiave primaria può in genere trovarsi usando il portale di Azure o tramite l'automazione.

Usare il portale di Azure per ottenere una delle quattro chiavi predefinite:

Lettura/scrittura primaria
Sola lettura primaria
Lettura/scrittura secondaria
Sola lettura secondaria

Accedere al portale di Azure (https://portal.azure.com).
Passare all'account Azure Cosmos DB esistente.
Nel riquadro delle risorse dell'account selezionare Chiavi nella sezione Impostazioni del menu del servizio.
Individuare e registrare il valore dei campi Chiave primaria o Chiave secondaria nella sezione Chiavi di lettura/scrittura o Sola lettura .

Suggerimento

Potrebbe essere necessario visualizzare le chiavi prima di registrare i relativi valori. Per impostazione predefinita, le chiavi sono nascoste.

Usare questo script dell'interfaccia della riga di comando di Azure per ottenere chiavi o stringa di connessione dall'account Azure Cosmos DB.

az cosmosdb keys list \
    --resource-group "<name-of-existing-resource-group>" \
    --name "<name-of-existing-account>" \
    --type "keys"

Avviso

L'interfaccia della riga di comando di Azure visualizzerà un avviso che indica che l'output dei segreti potrebbe compromettere la sicurezza per l'account.

--type Le opzioni dell'argomento includono:

connection-strings
keys
read-only-keys

Per ulteriori informazioni, vedere az cosmosdb keys list.

Usare questo script di Azure PowerShell per ottenere chiavi o stringa di connessione dall'account Azure Cosmos DB.

$parameters = @{
    ResourceGroupName = "<name-of-existing-resource-group>"
    Name = "<name-of-existing-account>"
    Type = "Keys"
}
Get-AzCosmosDBAccountKey @parameters

Type le opzioni dei parametri includono:

ConnectionStrings
Keys
ReadOnlyKeys

Per ulteriori informazioni, vedere Get-AzCosmosDBAccountKey.

Questo esempio di modello Bicep restituisce tutte le credenziali per un account Azure Cosmos DB esistente.

metadata description = 'Gets all keys and connection strings for an Azure Cosmos DB account.'

@description('The name of the Azure Cosmos DB account.')
param accountName string

resource account 'Microsoft.DocumentDB/databaseAccounts@2024-05-15' existing = {
  name: accountName
}

output endpoint string = account.properties.documentEndpoint

var keys = account.listKeys()

output keys object = {
  primary: {
    readWrite: keys.primaryMasterKey
    readOnly: keys.primaryReadonlyMasterKey
  }
  secondary: {
    readWrite: keys.secondaryMasterKey
    readOnly: keys.secondaryReadonlyMasterKey
  }
}

var connectionStrings = account.listConnectionStrings()

output connectionStrings object = {
  primary: {
    readWrite: connectionStrings.connectionStrings[0].connectionString
    readOnly: connectionStrings.connectionStrings[1].connectionString
  }
  secondary: {
    readWrite: connectionStrings.connectionStrings[2].connectionString
    readOnly: connectionStrings.connectionStrings[3].connectionString
  }
}

Avviso

Questo modello Bicep attiverà un avviso linter per Bicep. Idealmente, i modelli Bicep di produzione non devono restituire segreti. Questo esempio non elimina intenzionalmente questo avviso di linter. Per altre informazioni, vedere Regola linter: gli output non devono contenere segreti.

Implementare la rotazione delle chiavi

Condividi tramite

Ottenere chiavi primarie, secondarie, di lettura o di lettura/scrittura in Azure Cosmos DB

Prerequisiti

Ottenere la chiave primaria

Risorse aggiuntive

Condividi tramite

Ottenere chiavi primarie, secondarie, di lettura o di lettura/scrittura in Azure Cosmos DB

Prerequisiti

Ottenere la chiave primaria

Contenuto correlato

Risorse aggiuntive