Use o controle de acesso baseado em função (RBAC) do painel de controle no Azure Cosmos DB for NoSQL

Artigo
10/22/2024

APLICA-SE A: NoSQL

Diagrama da localização atual (

Esse artigo descreve as etapas para conceder acesso de identidade para gerenciar uma conta do Azure Cosmos DB for NoSQL e seus recursos.

Importante

As etapas nesse artigo abrangem apenas o acesso ao painel de controle para realizar operações na conta em si ou em qualquer recurso dentro da hierarquia dessa conta. Para aprender a gerenciar funções, definições e atribuições para o plano de controle, veja conceder acesso baseado em função ao plano de dados.

Pré-requisitos

Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
Uma conta existente do Azure Cosmos DB.
Uma ou mais identidades existentes no Microsoft Entra ID.

Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.
Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.
- Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.
- Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.
- Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.

Se você optar por usar o Azure PowerShell localmente:
- Instale a versão mais recente do módulo do Az PowerShell.
- Conecte-se à sua conta do Azure usando o cmdlet Connect-AzAccount.
Se você optar por usar o Azure Cloud Shell:
- Confira Visão geral do Azure Cloud Shell para obter mais informações.

Preparar definição de função

Primeiro, você deve preparar uma definição de função com uma lista de actions e conceder acesso para gerenciar recursos da conta no Azure Cosmos DB.

Definição interna
Definição personalizada

Liste todas as definições de função associadas à sua conta do Azure Cosmos DB usando az role definition list. Revise a saída e localize a definição de função chamada Colaborador interno de dados do Cosmos DB. A saída contém o identificador exclusivo da definição de função na propriedade id. Registre esse valor, pois ele será necessário para uso na etapa de atribuição mais adiante nesse guia.

az role definition list \
    --name "Cosmos DB Operator"

[
  {
    "assignableScopes": [
      "/"
    ],
    "description": "Lets you manage Azure Cosmos DB accounts, but not access data in them. Prevents access to account keys and connection strings.",
    "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/230815da-be43-4aae-9cb4-875f7bd000aa",
    "name": "230815da-be43-4aae-9cb4-875f7bd000aa",
    "permissions": [
      {
        "actions": [
          "Microsoft.DocumentDb/databaseAccounts/*",
          "Microsoft.Insights/alertRules/*",
          "Microsoft.Authorization/*/read",
          "Microsoft.ResourceHealth/availabilityStatuses/read",
          "Microsoft.Resources/deployments/*",
          "Microsoft.Resources/subscriptions/resourceGroups/read",
          "Microsoft.Support/*",
          "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action"
        ],
        "condition": null,
        "conditionVersion": null,
        "dataActions": [],
        "notActions": [
          "Microsoft.DocumentDB/databaseAccounts/dataTransferJobs/*",
          "Microsoft.DocumentDB/databaseAccounts/readonlyKeys/*",
          "Microsoft.DocumentDB/databaseAccounts/regenerateKey/*",
          "Microsoft.DocumentDB/databaseAccounts/listKeys/*",
          "Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/*",
          "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/write",
          "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/delete",
          "Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write",
          "Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete",
          "Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/write",
          "Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/delete",
          "Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/write",
          "Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/delete"
        ],
        "notDataActions": []
      }
    ],
    "roleName": "Cosmos DB Operator",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions",
  }
]

Observação

Por exemplo, neste exemplo, o valor de id seria /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Authorization/roleDefinitions/230815da-be43-4aae-9cb4-875f7bd000aa. Esse exemplo usa dados fictícios e seu identificador seria diferente deste exemplo. No entanto, o identificador (230815da-be43-4aae-9cb4-875f7bd000aa) é globalmente exclusivo em todas as definições de função no Azure.

Entre no portal do Azure (https://portal.azure.com).
Insira Grupo de recursos na barra de pesquisa global.
Dentro de Serviços, selecione Grupos de recursos.
No painel Grupos de recursos, selecione o seu grupo de recursos existente.

Observação

Este exemplo de captura de tela mostra o grupo de recursos msdocs-identity-example. O nome do seu grupo de recursos pode ser diferente.
Dentro do painel do grupo de recursos, selecione Controle de acesso (IAM) no menu de serviços.
No painel Controle de Acesso (IAM), selecione Funções.
Na seção Funções, use a frase de pesquisa Cosmos DB e localize a definição de função Operador do Cosmos DB. Depois, selecione a opção Exibir associada a essa definição.
Na caixa de diálogo da definição de função Operador do Cosmos DB, observe as ações atribuídas como parte dessa definição de função.
Feche a caixa de diálogo da definição de função Operador do Cosmos DB.

Use Get-AzRoleDefinition para listar todas as definições de função associadas à sua conta do Azure Cosmos DB. Revise a saída e localize a definição de função chamada Colaborador interno de dados do Cosmos DB. A saída contém o identificador exclusivo da definição de função na propriedade Id. Registre esse valor, pois ele será necessário para uso na etapa de atribuição mais adiante nesse guia.

$parameters = @{
    Name = "Cosmos DB Operator"
}
Get-AzRoleDefinition @parameters

Name             : Cosmos DB Operator
Id               : 230815da-be43-4aae-9cb4-875f7bd000aa
IsCustom         : False
Description      : Lets you manage Azure Cosmos DB accounts, but not access data in them. Prevents access to account keys and connection strings.
Actions          : {Microsoft.DocumentDb/databaseAccounts/*, Microsoft.Insights/alertRules/*, Microsoft.Authorization/*/read, Microsoft.ResourceHealth/availabilityStatuses/read…}
NotActions       : {Microsoft.DocumentDB/databaseAccounts/dataTransferJobs/*, Microsoft.DocumentDB/databaseAccounts/readonlyKeys/*, Microsoft.DocumentDB/databaseAccounts/regenerateKey/*, Microsoft.DocumentDB/databaseAccounts/listKeys/*…}
DataActions      : {}
NotDataActions   : {}
AssignableScopes : {/}

Observação

Por exemplo, neste exemplo, o valor de Id seria 230815da-be43-4aae-9cb4-875f7bd000aa. Esse identificador é globalmente exclusivo entre todas as definições de função no Azure.

Use az group show para obter os metadados do seu grupo de recursos atual.
```
az group show \
    --name "<name-of-existing-resource-group>"
```
Observe a saída do comando anterior. Registre o valor da propriedade id para esse grupo de recursos, pois será necessário na próxima etapa.
```
{
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example",
  "location": "westus",
  "name": "msdocs-identity-example",
  "type": "Microsoft.Resources/resourceGroups"
}
```
Observação

Por exemplo, neste exemplo, o valor de id seria /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example. Esse exemplo usa dados fictícios e seu identificador seria diferente deste exemplo. Este é um exemplo truncado da saída.
Crie um novo arquivo JSON chamado role-definition.json. No arquivo, especifique os valores listados aqui para criar sua definição de recurso. Para a lista AssignableScopes, adicione a propriedade id do grupo de recursos registrada na etapa anterior.
```
{
  "Name": "Azure Cosmos DB Control Plane Owner",
  "IsCustom": true,
  "Description": "Can perform all control plane actions for an Azure Cosmos DB account.",
  "Actions": [
    "Microsoft.DocumentDb/*"
  ],
  "AssignableScopes": [
    "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example"
  ]
}
```
Observação

Este exemplo usa o valor /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example registrado na etapa anterior. O identificador de recurso real pode ser diferente.
Crie uma nova definição de função usando az role definition create. Use o arquivo role-definition.json como entrada para o argumento --role-definition.
```
az role definition create \
    --role-definition role-definition.json
```
Revise a saída do comando de criação da definição. A saída contém o identificador exclusivo da definição de função na propriedade id. Registre esse valor, pois ele será necessário para uso na etapa de atribuição mais adiante nesse guia.
```
{
  "assignableScopes": [
    "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example"
  ],
  "description": "Can perform all control plane actions for an Azure Cosmos DB account.",
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
  "name": "e4e4e4e4-ffff-aaaa-bbbb-c5c5c5c5c5c5",
  "permissions": [
    {
      "actions": [
        "Microsoft.DocumentDb/*"
      ]
    }
  ],
  "roleName": "Azure Cosmos DB Control Plane Owner",
  "roleType": "CustomRole"
}
```
Observação

Por exemplo, neste exemplo, o valor de id seria /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0. Esse exemplo usa dados fictícios e seu identificador seria diferente deste exemplo. Este é um subconjunto da saída JSON típica de uma implantação, para facilitar o entendimento.

Crie um novo arquivo Bicep para definir sua função. Nomeie o arquivo control-plane-role-definition.bicep. Adicione esses actions à definição:

	Descrição
*`Microsoft.DocumentDb/`**	Habilita todas as ações possíveis.

metadata description = 'Create RBAC definition for control plane access to Azure Cosmos DB.'

@description('Name of the role definition.')
param roleDefinitionName string = 'Azure Cosmos DB Control Plane Owner'

@description('Description of the role definition.')
param roleDefinitionDescription string = 'Can perform all control plane actions for an Azure Cosmos DB account.'

resource definition 'Microsoft.Authorization/roleDefinitions@2022-04-01' = {
  name: guid(subscription().id, resourceGroup().id, roleDefinitionName)
  scope: resourceGroup()
  properties: {
    roleName: roleDefinitionName
    description: roleDefinitionDescription
    type: 'CustomRole'
    permissions: [
      {
        actions: [
          'Microsoft.DocumentDb/*'
        ]
      }
    ]
    assignableScopes: [
      resourceGroup().id
    ]
  }
}

output definitionId string = definition.id

Implante o modelo Bicep usando o az deployment group create. Especifique o nome do modelo Bicep e do grupo de recursos do Azure.

az deployment group create \
    --resource-group "<name-of-existing-resource-group>" \
    --template-file control-plane-role-definition.bicep

Revise a saída da implantação. A saída contém o identificador exclusivo da definição de função na propriedade properties.outputs.definitionId.value. Registre esse valor, pois ele será necessário para uso na etapa de atribuição mais adiante nesse guia.
```
{
  "properties": {
    "outputs": {
      "definitionId": {
        "type": "String",
        "value": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0"
      }
    }
  }
}
```
Observação

Por exemplo, neste exemplo, o valor de id seria /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0. Esse exemplo usa dados fictícios e seu identificador seria diferente deste exemplo. Este é um subconjunto da saída JSON típica de uma implantação, para facilitar o entendimento.

No painel Controle de acesso (IAM), selecione Adicionar e depois Adicionar função personalizada.

Dentro do painel Noções básicas, configure as opções a seguir e selecione Avançar:

	Valor
Nome da função personalizada	`Azure Cosmos DB Control Plane Owner`
Descrição	`Can perform all control plane actions for an Azure Cosmos DB account.`
Permissões de linha de base	Começar do zero

Captura de tela do painel

No painel Permissões, clique em Adicionar permissões. Em seguida, pesquise por DocumentDB na caixa de diálogo de permissões. Por fim, selecione a opção Microsoft.DocumentDB.
Na caixa de diálogo de permissões, selecione todas as Ações para Microsoft.DocumentDB. Em seguida, selecione Adicionar para retornar ao painel *Permissões.
De volta ao painel Permissões, observe a lista de permissões. Em seguida, selecione Examinar + criar.
No painel Revisar + criar, revise as opções especificadas para a nova definição de função. Por fim, selecione Criar.
Aguarde o portal terminar a criação da definição de função.

Use Get-AzResourceGroup para obter os metadados do seu grupo de recursos atual.

$parameters = @{
    Name = "<name-of-existing-resource-group>"
}
Get-AzResourceGroup @parameters

Observe a saída do comando anterior. Registre o valor da propriedade ResourceId para esse grupo de recursos, pois será necessário na próxima etapa.
```
ResourceGroupName : msdocs-identity-example
Location          : westus
ProvisioningState : Succeeded
ResourceId        : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example
```
Observação

Por exemplo, neste exemplo, o valor de ResourceId seria /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example. Esse exemplo usa dados fictícios e seu identificador seria diferente deste exemplo. Este é um exemplo truncado da saída típica.
Primeiro, importe o módulo Az.Resources. Em seguida, crie um novo objeto Microsoft.Azure.Commands.Resources.Models.Authorization.PSRoleDefinition. No objeto, especifique os valores listados aqui para criar sua definição de recurso. Para a lista AssignableScopes, adicione a propriedade ResourceId do grupo de recursos registrada na etapa anterior. Por fim, use o objeto de definição de função como entrada para o parâmetro -Role de New-AzRoleDefinition.
```
Import-Module Az.Resources

$parameters = @{
    TypeName = "Microsoft.Azure.Commands.Resources.Models.Authorization.PSRoleDefinition"
    Property = @{
        Name = "Azure Cosmos DB Control Plane Owner"
        Description = "Can perform all control plane actions for an Azure Cosmos DB account."
        IsCustom = $true
        Actions = @(
            "Microsoft.DocumentDb/*"
        )
        AssignableScopes = @(
            "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example"
        )
    }
}
$role = New-Object @parameters

New-AzRoleDefinition -Role $role
```
Observação

Este exemplo usa o valor /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example registrado na etapa anterior. O identificador de recurso real pode ser diferente.
Revise a saída do comando de criação da definição. A saída contém o identificador exclusivo da definição de função na propriedade Name. Registre esse valor, pois ele será necessário para uso na etapa de atribuição mais adiante nesse guia.
```
Name             : Azure Cosmos DB Control Plane Owner
Id               : e4e4e4e4-ffff-aaaa-bbbb-c5c5c5c5c5c5
IsCustom         : True
Description      : Can perform all control plane actions for an Azure Cosmos DB account.
Actions          : {Microsoft.DocumentDb/*}
AssignableScopes : {/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example}
```
Observação

Por exemplo, neste exemplo, o valor de Name seria Azure Cosmos DB Control Plane Owner. Este é um subconjunto da saída típica da implantação, para facilitar o entendimento.

Atribuir função à identidade

Agora, atribua a função recém-definida a uma identidade para que seus aplicativos possam acessar recursos no Azure Cosmos DB.

Importante

Essa tarefa de atribuição requer que você já tenha o identificador exclusivo de qualquer identidade à qual deseja conceder permissões de controle de acesso baseado em função.

Use az group show para obter os metadados do seu grupo de recursos atual novamente.
```
az group show \
    --name "<name-of-existing-resource-group>"
```
Observe a saída do comando anterior. Registre o valor da propriedade id para esse grupo de recursos, pois será necessário na próxima etapa.
```
{
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example",
  "location": "westus",
  "name": "msdocs-identity-example",
  "type": "Microsoft.Resources/resourceGroups"
}
```
Observação

Por exemplo, neste exemplo, o valor de id seria /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example. Esse exemplo usa dados fictícios e seu identificador seria diferente deste exemplo. Este é um exemplo truncado da saída.
Atribuir a nova função usando az role assignment create. Use o identificador do seu grupo de recursos para o argumento --scope, o identificador da função para o argumento -role e o identificador exclusivo da sua identidade para o argumento --assignee.
```
az role assignment create \
    --assignee "<your-principal-identifier>" \
    --role "subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0" \
    --scope "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example"
```
Observação

Neste comando de exemplo, o scope foi definido como o exemplo fictício /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example do exemplo da etapa anterior. O identificador do seu grupo de recursos seria distinto deste exemplo. Assim como a role, que também foi definida para o caminho /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0 fictício. Novamente, seu identificador de função será diferente.

Observe a saída do comando . A saída inclui um identificador exclusivo para a atribuição na propriedade id.

{
  "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
  "name": "ffffffff-5555-6666-7777-aaaaaaaaaaaa",
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
  "resourceGroup": "msdocs-identity-example",
  "roleDefinitionId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleDefinitions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0",
  "scope": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example",
  "type": "Microsoft.Authorization/roleAssignments"
}

Observação

Neste exemplo, a propriedade id é /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0, que é outro exemplo fictício.

Repita essas etapas para conceder acesso à conta de qualquer outra identidade que você queira usar.

Dica

Você pode repetir essas etapas para quantas identidades desejar. Normalmente, essas etapas são pelo menos repetidas para permitir que os desenvolvedores acessem uma conta usando sua identidade humana e para permitir que os aplicativos acessem usando uma identidade gerenciada.

Crie um novo arquivo Bicep para definir sua atribuição de função. Nomeie o arquivo control-plane-role-assignment.bicep.

metadata description = 'Assign RBAC role for control plane access to Azure Cosmos DB.'

@description('Id of the role definition to assign to the targeted principal in the context of the account.')
param roleDefinitionId string

@description('Id of the identity/principal to assign this role in the context of the account.')
param identityId string

resource assignment 'Microsoft.Authorization/roleAssignments@2022-04-01' = {
  name: guid(subscription().id, resourceGroup().id, roleDefinitionId, identityId)
  scope: resourceGroup()
  properties: {
    roleDefinitionId: roleDefinitionId
    principalId: identityId
  }
}

Crie um novo arquivo de parâmetros do Bicep chamado control-plane-role-assignment.bicepparam. Neste arquivo de parâmetros, atribua os identificadores de definição de função registrados anteriormente para o parâmetro roleDefinitionId e o identificador exclusivo para sua identidade para o parâmetro identityId.
```
using './control-plane-role-assignment.bicep'

param roleDefinitionId = '<id-of-new-role-definition>'
param identityId = '<id-of-existing-identity>'
```

Implante este modelo Bicep usando az deployment group create.

az deployment group create \
    --resource-group "<name-of-existing-resource-group>" \
    --parameters control-plane-role-assignment.bicepparam \
    --template-file control-plane-role-assignment.bicep

Repita essas etapas para conceder acesso à conta de qualquer outra identidade que você queira usar.

Dica

Você pode repetir essas etapas para quantas identidades desejar. Normalmente, essas etapas são pelo menos repetidas para permitir que os desenvolvedores acessem uma conta usando sua identidade humana e para permitir que os aplicativos acessem usando uma identidade gerenciada.

No painel Controle de acesso (IAM), clique em Adicionar e depois em Adicionar atribuição de função.
No painel Função, pesquise por Azure Cosmos DB e selecione a função Proprietário do Painel de Controle do Azure Cosmos DB criada anteriormente neste guia. Em seguida, selecione Avançar.

Dica

Você pode opcionalmente filtrar a lista de funções para incluir apenas funções personalizadas.
No painel Membros, selecione a opção Selecionar membros. Na caixa de diálogo "Membros", escolha a identidade para a qual deseja conceder esse nível de acesso à sua conta do Azure Cosmos DB e, em seguida, use a opção Selecionar para confirmar sua escolha.

Observação

Esta captura de tela ilustra um exemplo de usuário chamado "Kai Carter" com uma entidade de segurança kai@adventure-works.com.
De volta ao painel Membros, revise os membros selecionados e, em seguida, clique em Revisar + atribuir.
No painel Revisar + atribuir, revise as opções especificadas para a nova atribuição de função. Por fim, selecione Examinar + atribuir.
Aguarde o portal terminar a criação da atribuição de função.

Atribuir a nova função usando New-AzRoleAssignment. Use o nome da função para o parâmetro RoleDefinitionName e o identificador exclusivo da sua identidade para o parâmetro ObjectId.

$parameters = @{
    ResourceGroupName = "<name-of-existing-resource-group>"
    ObjectId = "<your-principal-identifier>"
    RoleDefinitionName = "Azure Cosmos DB Control Plane Owner"
}
New-AzRoleAssignment @parameters

Observe a saída do comando . A saída inclui um identificador exclusivo para a atribuição na propriedade RoleAssignmentId.

RoleAssignmentName : ffffffff-5555-6666-7777-aaaaaaaaaaaa
RoleAssignmentId   : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0
Scope              : /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example
DisplayName        : Kai Carter
SignInName         : <kai@adventure-works.com>
RoleDefinitionName : Azure Cosmos DB Control Plane Owner
RoleDefinitionId   : e4e4e4e4-ffff-aaaa-bbbb-c5c5c5c5c5c5

Observação

Neste exemplo, a propriedade RoleAssignmentId é /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/msdocs-identity-example/providers/Microsoft.Authorization/roleAssignments/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0, que é outro exemplo fictício. Este é um subconjunto da saída típica da implantação, para facilitar o entendimento.

Repita essas etapas para conceder acesso à conta de qualquer outra identidade que você queira usar.

Dica

Você pode repetir essas etapas para quantas identidades desejar. Normalmente, essas etapas são pelo menos repetidas para permitir que os desenvolvedores acessem uma conta usando sua identidade humana e para permitir que os aplicativos acessem usando uma identidade gerenciada.

Validar acesso ao painel de controle no código

Por fim, valide se você concedeu acesso corretamente usando o código do aplicativo e o SDK do Gerenciamento do Azure na sua linguagem de programação preferida.

using Azure.Identity;
using Azure.ResourceManager;

DefaultAzureCredential credential = new();

ArmClient client = new(credential);

Importante

Esse exemplo de código usa as bibliotecas Azure.ResourceManager.CosmosDB e Azure.Identity do NuGet.

const { CosmosDBManagementClient } = require('@azure/arm-cosmosdb');
const { DefaultAzureCredential } = require('@azure/identity');

const subscriptionId = "<subscription-id>";

const credential = new DefaultAzureCredential();

const client = new CosmosDBManagementClient(credential, subscriptionId);

Importante

Esse exemplo de código usa as bibliotecas @azure/arm-cosmosdb e @azure/identity do npm.

import { CosmosDBManagementClient } from '@azure/arm-cosmosdb';
import { TokenCredential, DefaultAzureCredential } from '@azure/identity';

let subscriptionId: string = "<subscription-id>";

let credential: TokenCredential = new DefaultAzureCredential();

const client: CosmosDBManagementClient = new CosmosDBManagementClient(credential, subscriptionId);

Importante

Esse exemplo de código usa as bibliotecas @azure/arm-cosmosdb e @azure/identity do npm.

from azure.mgmt.cosmosdb import CosmosDBManagementClient
from azure.identity import DefaultAzureCredential

subscription_id = "<subscription-id>"

credential = DefaultAzureCredential()

client = CosmosDBManagementClient(credential=credential, subscription=subscription_id)

Importante

Esse exemplo de código usa as bibliotecas azure-mgmt-cosmosdb e azure-identity do PyPI.

package main

import (
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
    "github.com/Azure/azure-sdk-for-go/sdk/resourcemanager/cosmos/armcosmos"
)

const subscriptionId = "<subscription-id>"

func main() {
    credential, _ := azidentity.NewDefaultAzureCredential(nil)
    
    client, _ := armcosmos.NewDatabaseClient(subscriptionId, credential, nil)
}

Importante

Esse exemplo de código usa as bibliotecas azure/azure-sdk-for-go/sdk/resourcemanager/cosmos/armcosmos e azure/azure-sdk-for-go/sdk/azidentity do Go.

package com.example;

import com.azure.core.management.profile.AzureProfile;
import com.azure.core.management.AzureEnvironment;
import com.azure.identity.DefaultAzureCredential;
import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.resourcemanager.cosmos.CosmosManager;

public class CosmosDB {
    public static void main(String[] args) {
        AzureProfile profile = new AzureProfile(AzureEnvironment.AZURE);
        DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
          .build();

        CosmosManager manager = CosmosManager.authenticate(credential, profile);
    }
}

Importante

Esse exemplo de código usa as bibliotecas com.azure.resourcemanager/azure-resourcemanager-cosmos e com.azure/azure-identity do Maven.

Próxima etapa

Conceder o acesso baseado em função do seu plano de dados de identidade

Compartilhar via

Use o controle de acesso baseado em função (RBAC) do painel de controle no Azure Cosmos DB for NoSQL

Pré-requisitos

Preparar definição de função

Atribuir função à identidade

Validar acesso ao painel de controle no código

Próxima etapa

Comentários

Recursos adicionais