Какой компонент Cosmos DB ты бы использовал, чтобы дать временный доступ своему приложению, и в чём разница между Read и Read-Write URL-ами в плане прав доступа и длительности?

Подписанные URL-адреса доступа (SAS)

Когда тебе нужно предоставить временный доступ к Azure Cosmos DB, используй подписанные URL-адреса доступа (SAS). SAS-ссылки позволяют выдать доступ с ограничением по времени к твоей учётной записи Cosmos DB без передачи основных строк подключения.

Ключевые возможности

• Доступ автоматически истекает через 24 часа
• Ты можешь сгенерировать новые URL-адреса, чтобы снова получить или продлить доступ
• Нет нужды делиться чувствительными учётными данными учётной записи
• Идеально подходит для совместного использования с внешними пользователями или приложениями

Уровни доступа

SAS предоставляет два типа ссылок с разными уровнями разрешений:

• Ссылка только для чтения — даёт доступ только на чтение, позволяя пользователям просматривать базы данных, коллекции, запросы и другие ресурсы
• Ссылка для чтения и записи — даёт полный доступ, позволяя пользователям просматривать, изменять и удалять базы данных, коллекции, запросы и другие ресурсы

Лучшие практики

• Используй принцип наименьших привилегий, выбирая подходящий уровень доступа для каждого пользователя
• Регулярно отслеживай и отзывай ссылки, которые больше не нужны
• Генерируй новые SAS-ссылки вместо продления существующих, когда срок доступа истекает
• Рассмотри внедрение дополнительных мер безопасности для особо чувствительных данных

Такой подход обеспечивает безопасный и гибкий способ временно открывать доступ к ресурсам Cosmos DB, сохраняя при этом контроль над разрешениями и сроком действия.