Use Entra ID Client Authentication and Azure RBAC where possible

Kodėl tai svarbu

Tokenų autentifikavimas „Azure Cosmos DB“ reikalauja nuolatinių slaptų raktų, saugomų kliento pusėje, o tai didina kredencialų atskleidimo riziką ir apsunkina saugumo valdymą. Pakeitus autentifikavimą į „Entra ID“ su „Azure RBAC“, pašalinami saugomi kredencialai, įgalinamas kelių veiksnių autentifikavimas ir centralizuojamas prieigos valdymas visuose „Azure“ ištekliuose. Tai žymiai sumažina atakos paviršių ir atitinka geriausią saugumo praktiką tapatybės valdymo srityje.

Ką tikrina „Aether365“

„Aether365“ patikrina, ar jūsų „Azure Cosmos DB“ paskyros sukonfigūruotos naudoti „Entra ID“ kliento autentifikavimą ir „Azure RBAC“ vietoj tokenų autentifikavimo. Šis patikrinimas rodomas „Aether365“ skydelyje po „azure-cosmosdb“ patikrinimais kaip „Kur galima, naudokite „Entra ID“ kliento autentifikavimą ir „Azure RBAC““ (AZURE.118).

Kaip ištaisyti

1. Atidarykite „Azure portal“ ir eikite į savo „Azure Cosmos DB“ paskyrą.
2. Kairiajame meniu pasirinkite „Settings“, tada „Keys“.
3. Skiltyje „Authentication“ pasirinkite „Microsoft Entra ID“ kaip autentifikavimo metodą.
4. „Access control (IAM)“ juostoje priskirkite vaidmenimis pagrįstą prieigą naudodami „Azure RBAC“ vaidmenis, pvz., „Cosmos DB Built-in Data Reader“ arba „Cosmos DB Built-in Data Contributor“.
5. Atnaujinkite savo programos kodą, kad naudotumėte „Azure Identity“ biblioteką .NET, Java, Python arba Node.js kalboms autentifikuotis su „Entra ID“.
6. Pašalinkite visus esamus tokenų autentifikavimo raktus iš kliento programų, kad užtikrintumėte visišką migraciją.

Atitiktis

• CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Level 1)
• EIDSCA 2.0

Susiję ištekliai

• Kaip suteikti valdymo plokštumos vaidmenimis pagrįstą prieigą „Azure Cosmos DB“

Microsoft references

• How to grant control plane role based access