Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
Nosql
Mongodb
Кассандра
Гремлин
Таблица
Управляемые удостоверения для ресурсов Azure предоставляют службам Azure автоматически управляемое удостоверение, которое хранится в Microsoft Entra ID. В этой статье показано, как создать управляемое удостоверение для учетных записей Azure Cosmos DB.
Необходимые компоненты
- Если вы не знакомы с управляемыми удостоверениями для ресурсов Azure, ознакомьтесь со сведениями об управляемых удостоверениях для ресурсов Azure? Дополнительные сведения о типах управляемых удостоверений см. в разделе "Типы управляемых удостоверений".
- Чтобы настроить управляемые удостоверения, ваша учетная запись должна иметь роль DocumentDB Account Contributor.
Добавление назначаемого системой удостоверения
Использование портала Azure
Чтобы включить управляемое удостоверение, назначаемое системой, в существующей учетной записи Azure Cosmos DB, перейдите к учетной записи на портале Azure и выберите "Удостоверение " в боковом меню.
В разделе «Назначенная системой» переключите статус на Включено и нажмите «Сохранить». Вам будет предложено подтвердить создание управляемого удостоверения, назначаемого системой.
После создания и назначения удостоверения можно получить его идентификатор объекта (субъекта).
С помощью шаблона Azure Resource Manager (ARM)
Внимание
При работе с управляемыми удостоверениями обязательно используйте apiVersion версии 2021-03-15 или более поздней.
Чтобы включить удостоверение, назначаемое системой, для новой или существующей учетной записи Azure Cosmos DB, включите следующее свойство в определение ресурса:
"identity": {
"type": "SystemAssigned"
}
Раздел resources шаблона ARM должен выглядеть следующим образом:
"resources": [
{
"type": " Microsoft.DocumentDB/databaseAccounts",
"identity": {
"type": "SystemAssigned"
},
// ...
},
// ...
]
После создания или обновления учетной записи Azure Cosmos DB отображается следующее свойство:
"identity": {
"type": "SystemAssigned",
"tenantId": "<azure-ad-tenant-id>",
"principalId": "<azure-ad-principal-id>"
}
Использование Azure CLI
Чтобы включить удостоверение, назначаемое системой, при создании новой учетной записи Azure Cosmos DB, добавьте параметр --assign-identity:
resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'
az cosmosdb create \
-n $accountName \
-g $resourceGroupName \
--locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
--assign-identity
Вы также можете добавить назначаемое системой удостоверение в существующую учетную запись с помощью az cosmosdb identity assign команды:
resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'
az cosmosdb identity assign \
-n $accountName \
-g $resourceGroupName
После создания или обновления учетной записи Azure Cosmos DB с помощью команды az cosmosdb identity show можно получить назначенное удостоверение:
resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'
az cosmosdb identity show \
-n $accountName \
-g $resourceGroupName
{
"type": "SystemAssigned",
"tenantId": "<azure-ad-tenant-id>",
"principalId": "<azure-ad-principal-id>"
}
Добавление назначаемого пользователем удостоверения
Использование портала Azure
Чтобы включить управляемое удостоверение, назначаемое пользователем, в существующей учетной записи Azure Cosmos DB перейдите к учетной записи на портале Azure и выберите "Удостоверение " в боковом меню.
В разделе "Назначенный пользователем" нажмите кнопку +Добавить.
Найдите и выберите все удостоверения, которые вы хотите назначить учетной записи Azure Cosmos DB, а затем щелкните Добавить.
С помощью шаблона Azure Resource Manager (ARM)
Внимание
При работе с управляемыми удостоверениями обязательно используйте apiVersion версии 2021-03-15 или более поздней.
Чтобы включить удостоверение, назначаемое пользователем, для новой или имеющейся учетной записи Azure Cosmos DB, включите следующее свойство в определение ресурса:
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"<identity-resource-id>": {}
}
}
Раздел resources вашего шаблона ARM затем должен выглядеть следующим образом:
"resources": [
{
"type": " Microsoft.DocumentDB/databaseAccounts",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"<identity-resource-id>": {}
}
},
// ...
},
// ...
]
После создания или обновления учетной записи Azure Cosmos DB отображается следующее свойство:
"identity": {
"type": "UserAssigned",
"tenantId": "<azure-ad-tenant-id>",
"principalId": "<azure-ad-principal-id>"
}
Использование Azure CLI
Чтобы включить удостоверение, назначаемое пользователем, при создании учетной записи Azure Cosmos DB, добавьте параметр --assign-identity и передайте идентификатор ресурса удостоверения, которое вы хотите назначить:
resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'
az cosmosdb create \
-n $accountName \
-g $resourceGroupName \
--locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
--assign-identity <identity-resource-id>
Вы также можете добавить назначаемое пользователем удостоверение в существующую учетную запись с помощью az cosmosdb identity assign команды:
resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'
az cosmosdb identity assign \
-n $accountName \
-g $resourceGroupName
--identities <identity-resource-id>
После создания или обновления учетной записи Azure Cosmos DB можно получить назначенный идентификатор с помощью команды az cosmosdb identity show.
resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'
az cosmosdb identity show \
-n $accountName \
-g $resourceGroupName
{
"type": "UserAssigned",
"tenantId": "<azure-ad-tenant-id>",
"principalId": "<azure-ad-principal-id>"
}
Удалите назначаемое системой удостоверение или удостоверение, назначаемое пользователем
С помощью шаблона Azure Resource Manager (ARM)
Внимание
При работе с управляемыми удостоверениями обязательно используйте apiVersion версии 2021-03-15 или более поздней.
Чтобы удалить удостоверение, назначаемое системой, из учетной записи Azure Cosmos DB, задайте для type свойства identity значение None:
"identity": {
"type": "None"
}
Использование Azure CLI
Чтобы удалить все управляемые удостоверения из учетной записи Azure Cosmos DB, используйте команду az cosmosdb identity remove:
resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'
az cosmosdb identity remove \
-n $accountName \
-g $resourceGroupName
Следующие шаги
- Дополнительные сведения см. в статье Использование управляемых удостоверений для ресурсов Azure.
- См. дополнительные сведения о ключах, управляемых клиентом, в Azure Cosmos DB.