警告
不建议将资源所有者密码凭据(ROPC)流用于 NoSQL 工作负荷的生产 Azure Cosmos DB,因为它需要直接处理凭据,这会带来安全风险。 若要获得更安全的身份验证,请使用具有 Microsoft Entra ID 的基于角色的访问控制。 有关详细信息,请参阅 Azure Cosmos DB for NoSQL 中基于角色的访问控制和Microsoft Entra ID 身份验证。
使用 Azure Cosmos DB for NoSQL 可以轮换主密钥和辅助密钥来维护安全性。 本文介绍如何在确保持续应用程序访问数据库的同时重新生成密钥。
注释
密钥重新生成可能需要一分钟到多个小时,具体取决于 Azure Cosmos DB for NoSQL 帐户的大小。 在启动轮换过程之前,请确保应用程序始终使用主密钥或辅助密钥。
先决条件
一个现有的 Azure Cosmos DB for NoSQL 帐户
应用程序当前始终使用主密钥或辅助密钥
通过帐户密钥使用情况元数据来轮换密钥
重要
帐户密钥使用情况元数据功能处于私密预览阶段。 此功能在没有服务级别协议的情况下提供,不建议将其用于生产工作负荷。 有关详细信息,请参阅 Azure 预览版补充使用条款
Azure Cosmos DB 现在提供其他功能,以确保使用帐户密钥使用情况元数据进行安全密钥轮换或禁用本地身份验证。 此功能旨在提供上次使用帐户密钥时的额外可见性,允许团队在轮换或迁移到 Entra ID 之前做出明智的决策。
它为什么重要?
- 帮助禁用本地身份验证:提供在关闭本地身份验证之前不再使用密钥的信心。
- 防止应用程序中断:避免意外轮换正在使用的密钥。
- 提高安全卫生:鼓励安全和有意的密钥轮换。
这对于以下项特别有价值:
- 当前使用密钥但计划完全迁移到 Entra ID 的客户。
- 不常使用的密钥:仍依赖于密钥的每月或每年作业。
- 跨团队共享密钥:可见性通常受到限制。
注释
有兴趣的客户可以通过注册表单获得早期访问,或联系我们cosmosdb-sec-feature@microsoft.com
使用主键时轮换密钥
如果应用程序当前正在使用主密钥,请按照以下步骤轮换到辅助密钥并重新生成主密钥。
登录到 Azure 门户 (https://portal.azure.cn)。
导航到 Azure Cosmos DB for NoSQL 帐户。
从导航菜单中选择键。
从辅助密钥旁边的省略号菜单中选择 “重新生成辅助密钥 ”。
验证新的辅助密钥是否一致地适用于 Azure Cosmos DB for NoSQL 帐户。
更新应用程序以使用辅助密钥而不是主密钥。
返回到 “密钥 ”部分,然后从主键旁边的省略号菜单中选择“ 重新生成主密钥 ”。
在使用辅助密钥时进行密钥轮换
如果应用程序当前正在使用辅助密钥,请按照以下步骤轮换到主密钥并重新生成辅助密钥。
在 Azure Cosmos DB for NoSQL 帐户的 “密钥 ”部分中,从主密钥旁边的省略号菜单中选择 “重新生成主密钥 ”。
验证新的主密钥是否一致地适用于 Azure Cosmos DB for NoSQL 帐户。
更新应用程序以使用主密钥而不是辅助密钥。
返回到 “密钥 ”部分,然后从辅助密钥旁边的省略号菜单中选择“ 重新生成辅助密钥 ”。