Use Entra ID Client Authentication and Azure RBAC where possible
Чому це важливо
Токенна автентифікація для Azure Cosmos DB вимагає постійних секретів, що зберігаються на стороні клієнта, що підвищує ризик витоку облікових даних та ускладнює управління безпекою. Перехід на автентифікацію Entra ID з Azure RBAC дозволяє уникнути зберігання облікових даних, впровадити багатофакторну автентифікацію та централізувати контроль доступу до всіх ресурсів Azure. Це значно зменшує поверхню атаки та відповідає найкращим практикам безпеки для управління ідентифікацією.
Що перевіряє Aether365
Aether365 перевіряє, чи налаштовані ваші облікові записи Azure Cosmos DB на використання автентифікації клієнта через Entra ID та Azure RBAC замість токенної автентифікації. Ця перевірка відображається в панелі Aether365 у розділі azure-cosmosdb під назвою "Use Entra ID Client Authentication and Azure RBAC where possible" (AZURE.118).
Як виправити
- Відкрийте Azure Portal та перейдіть до вашого облікового запису Azure Cosmos DB.
- У лівому меню виберіть "Settings", а потім "Keys".
- У розділі "Authentication" оберіть "Microsoft Entra ID" як метод автентифікації.
- У меню "Access control (IAM)" призначте рольовий доступ за допомогою ролей Azure RBAC, таких як "Cosmos DB Built-in Data Reader" або "Cosmos DB Built-in Data Contributor".
- Оновіть код вашої програми, щоб використовувати бібліотеку Azure Identity для .NET, Java, Python або Node.js для автентифікації через Entra ID.
- Видаліть усі наявні ключі токенної автентифікації з клієнтських програм, щоб забезпечити повну міграцію.
Відповідність
- CIS Microsoft Azure Foundations 3.0.0 5.4.3 (Level 1)
- EIDSCA 2.0