使用key Vault中的密钥连接到Cosmos

基础概念

Key Vault 是一种安全存储服务，用于存储和管理加密密钥、证书和其他敏感数据。它提供了一个集中式的位置来存储这些信息，并且可以通过访问控制来保护这些数据。

Cosmos DB 是一种全球分布式多模型数据库服务，支持多种数据模型（如文档、键值对、图形和列存储）。它提供了高可用性、低延迟和自动扩展功能。

类型

Key Vault：主要分为两种类型，一种是硬件安全模块（HSM）支持的密钥存储，另一种是纯软件的密钥存储。
Cosmos DB：支持多种数据模型，包括文档数据库、键值对数据库、图形数据库和列存储数据库。

应用场景

Key Vault：适用于需要安全存储和管理密钥、证书和敏感数据的应用场景，如身份验证、数据加密、API 密钥管理等。
Cosmos DB：适用于需要全球分布、高可用性和自动扩展的数据库应用场景，如物联网、游戏、移动应用、实时分析等。

连接方式

使用 Key Vault 中的密钥连接到 Cosmos DB 的步骤如下：

创建 Key Vault：在云平台上创建一个 Key Vault 实例，并配置相应的访问控制策略。
创建 Cosmos DB 账户：在云平台上创建一个 Cosmos DB 账户，并获取连接字符串。
在 Key Vault 中存储密钥：将 Cosmos DB 的连接字符串或密钥存储在 Key Vault 中。
获取密钥：应用程序通过 Key Vault 的 API 获取 Cosmos DB 的连接字符串或密钥。
连接到 Cosmos DB：使用获取到的连接字符串或密钥连接到 Cosmos DB。

示例代码

以下是一个使用 Azure Key Vault 和 Azure Cosmos DB 的示例代码（假设使用 Python 和 Azure SDK）：

from azure.identity import DefaultAzureCredential
from azure.keyvault.secrets import SecretClient
from azure.cosmos import CosmosClient, PartitionKey

# 获取 Key Vault 客户端
key_vault_url = "https://<your-key-vault-name>.vault.azure.net/"
credential = DefaultAzureCredential()
client = SecretClient(vault_url=key_vault_url, credential=credential)

# 获取 Cosmos DB 连接字符串
secret_name = "<your-secret-name>"
secret = client.get_secret(secret_name)
cosmos_connection_string = secret.value

# 连接到 Cosmos DB
cosmos_client = CosmosClient.from_connection_string(cosmos_connection_string)
database_name = "<your-database-name>"
database = cosmos_client.get_database_client(database_name)
container_name = "<your-container-name>"
container = database.get_container_client(container_name)

# 示例操作：插入文档
document = {
    "id": "unique-id",
    "name": "Sample Document"
}
container.create_item(body=document)