Use Entra ID Client Authentication and Azure RBAC where possible

Kāpēc tas ir svarīgi

Marķieru autentifikācija Azure Cosmos DB prasa, lai klients glabātu pastāvīgus noslēpumus, kas palielina akreditācijas datu atklāšanas risku un sarežģī drošības pārvaldību. Pārejot uz Entra ID autentifikāciju ar Azure RBAC, jūs novēršat glabāto akreditācijas datu nepieciešamību, iespējojat daudzfaktoru autentifikāciju un centralizējat piekļuves kontroli visiem Azure resursiem. Tas ievērojami samazina uzbrukuma virsmu un saskan ar drošības paraugpraksi identitātes pārvaldībā.

Ko pārbauda Aether365

Aether365 pārbauda, vai jūsu Azure Cosmos DB konti ir konfigurēti, lai izmantotu Entra ID klienta autentifikāciju un Azure RBAC, nevis marķieru autentifikāciju. Šī pārbaude Aether365 panelī zem azure-cosmosdb pārbaudēm tiek parādīta kā "Use Entra ID Client Authentication and Azure RBAC where possible" (AZURE.118).

Kā labot

1. Atveriet Azure Portal un dodieties uz savu Azure Cosmos DB kontu.
2. Kreisajā izvēlnē atlasiet "Settings", pēc tam "Keys".
3. Sadaļā "Authentication" kā autentifikācijas metodi izvēlieties "Microsoft Entra ID".
4. Sadaļā "Access control (IAM)" piešķiriet lomu piekļuvi, izmantojot Azure RBAC lomas, piemēram, "Cosmos DB Built-in Data Reader" vai "Cosmos DB Built-in Data Contributor".
5. Atjauniniet savas lietojumprogrammas kodu, lai autentificētos ar Entra ID, izmantojot Azure Identity bibliotēku .NET, Java, Python vai Node.js.
6. Noņemiet visus esošos marķieru autentifikācijas taustiņus no klienta lietojumprogrammām, lai nodrošinātu pilnīgu migrāciju.

Atbilstība

• CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Level 1)
• EIDSCA 2.0

Saistītie resursi

• How to grant control plane role-based access in Azure Cosmos DB

Microsoft references

• How to grant control plane role based access