Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cosmos DB en Microsoft Fabric es una base de datos NoSQL optimizada para IA configurada automáticamente para necesidades de desarrollo típicas con una experiencia de administración simplificada. Fabric proporciona seguridad integrada, control de acceso y supervisión para Cosmos DB en Fabric. Aunque Fabric proporciona características de seguridad integradas para proteger los datos, es esencial seguir los procedimientos recomendados para mejorar aún más la seguridad de la cuenta, los datos y las configuraciones de red.
En este artículo se proporcionan instrucciones sobre cómo proteger mejor la implementación de Cosmos DB en Fabric.
Administración de identidades
Use identidades administradas para acceder a su cuenta desde otros servicios de Azure: las identidades administradas eliminan la necesidad de administrar las credenciales proporcionando una identidad administrada automáticamente en microsoft Entra ID. Use identidades administradas para acceder de forma segura a Cosmos DB desde otros servicios de Azure sin insertar credenciales en el código. Aunque Cosmos DB en Fabric admite varios tipos de tipos de identidad (entidades de servicio), las identidades administradas son la opción preferida, ya que no requieren que la solución controle las credenciales directamente. Para más información, consulte Autenticación desde servicios host de Azure.
Use la autenticación Entra para consultar, crear y acceder a elementos dentro de un contenedor al desarrollar soluciones: Acceda a elementos dentro de contenedores de Cosmos DB mediante la identidad de usuario y la autenticación de Microsoft Entra. Aplique el acceso con privilegios mínimos para consultar, crear y otras operaciones. Este control ayuda a proteger las operaciones de datos. Para obtener más información, consulte Conexión segura desde el entorno de desarrollo.
Separe las identidades de Azure que se usan para el acceso a los datos y el plano de control: use distintas identidades de Azure para las operaciones del plano de control y del plano de datos para reducir el riesgo de escalación de privilegios y garantizar un mejor control de acceso. Esta separación mejora la seguridad limitando el ámbito de cada identidad. Para obtener más información, consulte Configuración de la autorización.
Permisos de usuario
- Configurar acceso al área de trabajo menos permisivo de Fabric: Los permisos de usuario se aplican en función del nivel actual de acceso al área de trabajo. Si un usuario se quita del área de trabajo de Fabric, también pierde automáticamente el acceso a la base de datos de Cosmos DB asociada y a los datos subyacentes. Para más información, consulte Modelo de permisos de Fabric.
Consideraciones sobre el contexto de ejecución y la identidad
Entender la identidad de ejecución de cuadernos: al trabajar con cuadernos en áreas de trabajo de Fabric, tenga en cuenta que los artefactos siempre se ejecutan con la identidad del usuario que los creó, independientemente de quién los ejecute. Esto significa que los permisos de acceso a datos y los seguimientos de auditoría reflejarán la identidad del creador del cuaderno, no la identidad del ejecutor. Planee la estrategia de creación y uso compartido de cuadernos en consecuencia para garantizar los controles de acceso adecuados.
Planear las limitaciones de la identidad del área de trabajo: actualmente, Fabric no admite la funcionalidad con la identidad del área de trabajo. Las operaciones se ejecutan con la identidad del usuario que las creó en lugar de una identidad de área de trabajo compartida. Tenga en cuenta esto al diseñar escenarios multiusuario y asegurarse de que los usuarios adecuados creen artefactos que se compartirán en el área de trabajo.