Azure Cosmos DB权限管理：DevUser1创建容器策略

在本资源中，主要讨论了与Microsoft Azure Cosmos DB Core (SQL) API相关的认证和权限管理问题。题目标题"MCP ET - DP-420"表明这可能是一份用于Microsoft Certified Professional (MCP)认证考试的学习材料，专注于Azure平台上的数据库操作。具体到文档的部分内容，涉及一个名为account1的Azure Cosmos DB Core SQL API账户，该账户具有disableKeyBasedMetadataWriteAccess属性，这意味着用户不能直接使用密钥来写入元数据。 关键知识点： 1. **资源令牌 (Resource Tokens)**: - 在Azure Cosmos DB中，资源令牌是确保安全访问的一种机制。当需要限制用户对特定容器、分区键、文档、附件、存储过程、触发器或用户定义函数（UDF）的访问时，资源令牌非常关键。 - 针对用户DevUser1的情况，资源令牌可以被用来为App1提供有限的权限，使得DevUser1只能在account1中创建指定的容器，符合其非特权账户的角色。 2. **Azure Resource Manager API**： - Azure Resource Manager API是一个用于部署和管理Azure资源，包括Cosmos DB账户、数据库和容器的重要工具。然而，这里提到的Azure Resource Manager并不直接用于控制对Cosmos DB实例的细粒度访问，如创建容器，而是更偏向于整体资源的生命周期管理。 3. **错误选项：Microsoft Graph API**： - Microsoft Graph API是一个用于访问多种Microsoft服务的RESTful API，包括Azure Active Directory (Azure AD)。虽然它可以用于身份验证和授权，但在这里提到创建容器的操作，更适合使用资源令牌而非Microsoft Graph。 为了满足DevUser1的需求，正确的步骤应该是： - 为App1生成一个资源令牌，配置为只允许DevUser1访问account1中的特定容器权限。 - 使用这些资源令牌在App1中实现对container的创建操作，而不是依赖于全局的密钥，从而严格限制权限并确保合规性。 这份资料强调了在Azure Cosmos DB中实施细粒度权限管理和使用资源令牌来保护数据安全的重要性，这对于理解和准备MCP认证考试的考生来说是核心概念。通过理解并掌握这些原则，考生将能够有效地在实际环境中设计和管理Azure Cosmos DB服务。