Alkalmazás migrálása jelszó nélküli kapcsolatok használatára az Azure Blob Storage használatával

Cikk
10/18/2023

Az Azure-szolgáltatásoknak küldött alkalmazáskéréseket olyan konfigurációkkal kell hitelesíteni, mint a fiókhozzáférés kulcsai vagy a jelszó nélküli kapcsolatok. Lehetőség szerint azonban fontossági sorrendbe kell helyeznie a jelszó nélküli kapcsolatokat az alkalmazásokban. A jelszavakat vagy titkos kulcsokat használó hagyományos hitelesítési módszerek biztonsági kockázatokat és bonyodalmakat okoznak. Látogasson el az Azure Services Hub jelszó nélküli kapcsolataira, és tudjon meg többet a jelszó nélküli kapcsolatokra való áttérés előnyeiről.

Az alábbi oktatóanyag bemutatja, hogyan migrálhat egy meglévő alkalmazást jelszó nélküli kapcsolatok használatával való csatlakozáshoz. Ugyanezeket a migrálási lépéseket kell alkalmazni, függetlenül attól, hogy hozzáférési kulcsokat, kapcsolati sztring vagy más titkos kulcsalapú megközelítést használ.

Szerepkörök és felhasználók konfigurálása helyi fejlesztési hitelesítéshez

Helyi fejlesztéskor győződjön meg arról, hogy a blobadatokhoz hozzáférő felhasználói fiók rendelkezik a megfelelő engedélyekkel. A blobadatok olvasásához és írásához tárolóblobadatok közreműködője szükséges. A szerepkör hozzárendeléséhez hozzá kell rendelnie a Felhasználói hozzáférés rendszergazdája szerepkört, vagy egy másik szerepkört, amely tartalmazza a Microsoft.Authorization/roleAssignments/write műveletet. Azure RBAC-szerepköröket rendelhet egy felhasználóhoz az Azure Portal, az Azure CLI vagy az Azure PowerShell használatával. A szerepkör-hozzárendelések elérhető hatóköreiről a hatókör áttekintési oldalán tudhat meg többet.

Ebben a forgatókönyvben engedélyeket rendel hozzá a felhasználói fiókjához, amely a tárfiókra terjed ki, hogy kövesse a minimális jogosultság elvét. Ez a gyakorlat csak a minimálisan szükséges engedélyeket biztosítja a felhasználóknak, és biztonságosabb éles környezeteket hoz létre.

Az alábbi példa a Storage Blob Data Contributor szerepkört rendeli hozzá a felhasználói fiókjához, amely olvasási és írási hozzáférést biztosít a tárfiók blobadataihoz.

Fontos

A szerepkör-hozzárendelés propagálása a legtöbb esetben egy-két percet vesz igénybe az Azure-ban, de ritkán akár nyolc percet is igénybe vehet. Ha hitelesítési hibákat kap a kód első futtatásakor, várjon néhány percet, és próbálkozzon újra.

Az Azure Portalon keresse meg a tárfiókot a fő keresősávon vagy a bal oldali navigációs sávon.
A tárfiók áttekintési lapján válassza a Hozzáférés-vezérlés (IAM) lehetőséget a bal oldali menüben.
A Hozzáférés-vezérlés (IAM) lapon válassza a Szerepkör-hozzárendelések lapot.
Válassza a +Hozzáadás lehetőséget a felső menüből, majd a szerepkör-hozzárendelés hozzáadása lehetőséget az eredményül kapott legördülő menüből.
A keresőmezővel szűrheti az eredményeket a kívánt szerepkörre. Ebben a példában keresse meg a Storage Blob-adatszolgáltatót, és válassza ki a megfelelő eredményt, majd válassza a Tovább gombot.
A Hozzáférés hozzárendelése területen válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget, majd válassza a + Tagok kijelölése lehetőséget.
A párbeszédpanelen keresse meg a Microsoft Entra-felhasználónevet (általában a user@domain e-mail-címét), majd válassza a Párbeszédpanel alján található Kiválasztás lehetőséget.
Válassza a Véleményezés + hozzárendelés lehetőséget a végső lapra való ugráshoz, majd a folyamat befejezéséhez a Véleményezés + hozzárendelés lehetőséget.

Ha az Azure CLI használatával szeretne szerepkört hozzárendelni az erőforrásszinthez, először le kell kérnie az erőforrás-azonosítót a az storage account show parancs használatával. A kimeneti tulajdonságokat a --query paraméterrel szűrheti.

az storage account show --resource-group '<your-resource-group-name>' --name '<your-storage-account-name>' --query id

Másolja ki a kimenetet Id az előző parancsból. Ezután az Azure CLI szerepkör-parancsával rendelhet hozzá szerepköröket.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Ha az Azure PowerShell használatával szeretne szerepkört hozzárendelni az erőforrásszinthez, először le kell kérnie az erőforrás-azonosítót a Get-AzResource paranccsal.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Másolja ki az értéket az Id előző parancskimenetből. Ezután a New-AzRoleAssignment paranccsal rendelhet hozzá szerepköröket a PowerShellben.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope <yourStorageAccountId>

A helyi fejlesztéshez győződjön meg arról, hogy ugyanazzal a Microsoft Entra-fiókkal van hitelesítve, amelyhez a szerepkört hozzárendelte. A hitelesítést olyan népszerű fejlesztői eszközökkel végezheti el, mint az Azure CLI vagy az Azure PowerShell. A hitelesítéshez használható fejlesztői eszközök különböző nyelveken eltérőek lehetnek.

Jelentkezzen be az Azure-ba az Azure CLI-vel a következő paranccsal:

az login

Telepítenie kell az Azure CLI-t , hogy a Visual Studio Code-on keresztül működjön DefaultAzureCredential .

A Visual Studio Code főmenüjében lépjen az Új terminál terminálra>.

Jelentkezzen be az Azure-ba az Azure CLI-vel a következő paranccsal:

az login

Jelentkezzen be az Azure-ba a PowerShell használatával az alábbi paranccsal:

Connect-AzAccount

Ezután frissítse a kódot jelszó nélküli kapcsolatok használatára.

A .NET-alkalmazásokban való használathoz DefaultAzureCredential telepítse a Azure.Identity csomagot:
```
dotnet add package Azure.Identity
```
A fájl tetején adja hozzá a következő kódot:
```
using Azure.Identity;
```
Azonosítsa a kód azon helyeit, amelyek létrehoznak egy BlobServiceClient , az Azure Blob Storage-hoz való csatlakozásra szolgáló helyet. Frissítse a kódot a következő példának megfelelően:
```
DefaultAzureCredential credential = new();

BlobServiceClient blobServiceClient = new(
    new Uri($"https://{storageAccountName}.blob.core.windows.net"),
    credential);
```

Go-alkalmazásokban való használathoz DefaultAzureCredential telepítse a modult azidentity :
```
go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
```

A fájl tetején adja hozzá a következő kódot:

import (
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
)

Azonosítsa a kód azon helyeit, amelyek létrehoznak egy példányt Client az Azure Blob Storage-hoz való csatlakozáshoz. Frissítse a kódot a következő példának megfelelően:

cred, err := azidentity.NewDefaultAzureCredential(nil)
if err != nil {
    // handle error
}

serviceURL := fmt.Sprintf("https://%s.blob.core.windows.net", storageAccountName)
client, err := azblob.NewClient(serviceURL, cred, nil)
if err != nil {
    // handle error
}

Java-alkalmazásokban való használatához DefaultAzureCredential telepítse a azure-identity csomagot az alábbi módszerek egyikével:
1. Adja meg a BOM-fájlt.
2. Adjon hozzá közvetlen függőséget.

A fájl tetején adja hozzá a következő kódot:

import com.azure.identity.DefaultAzureCredentialBuilder;

Azonosítsa a kód azon helyeit, amelyek létrehoznak egy BlobServiceClient objektumot az Azure Blob Storage-hoz való csatlakozáshoz. Frissítse a kódot a következő példának megfelelően:

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .build();
String endpoint = 
    String.format("https://%s.blob.core.windows.net", storageAccountName);

BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
    .endpoint(endpoint)
    .credential(credential)
    .buildClient();

Ha egy Node.js alkalmazásban szeretné használni DefaultAzureCredential , telepítse a @azure/identity csomagot:
```
npm install --save @azure/identity
```

A fájl tetején adja hozzá a következő kódot:

import { DefaultAzureCredential } from "@azure/identity";

Azonosítsa a kód azon helyeit, amelyek létrehoznak egy BlobServiceClient objektumot az Azure Blob Storage-hoz való csatlakozáshoz. Frissítse a kódot a következő példának megfelelően:
```
const credential = new DefaultAzureCredential();

const blobServiceClient = new BlobServiceClient(
  `https://${storageAccountName}.blob.core.windows.net`,
  credential
);    
```

Python-alkalmazásban való használathoz DefaultAzureCredential telepítse a azure-identity csomagot:
```
pip install azure-identity
```

A fájl tetején adja hozzá a következő kódot:

from azure.identity import DefaultAzureCredential

Azonosítsa a kód azon helyeit, amelyek létrehoznak egy BlobServiceClient objektumot az Azure Blob Storage-hoz való csatlakozáshoz. Frissítse a kódot a következő példának megfelelően:
```
credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
    account_url = "https://%s.blob.core.windows.net" % storage_account_name,
    credential = credential
)
```

Mindenképpen frissítse a tárfiók nevét az URI-ban BlobServiceClient. A tárfiók nevét az Azure Portal áttekintési oldalán találja.

Az alkalmazás futtatása helyben

A kódmódosítások elvégzése után futtassa az alkalmazást helyileg. Az új konfigurációnak át kell vennie a helyi hitelesítő adatokat, például az Azure CLI-t, a Visual Studiót vagy az IntelliJ-t. A helyi fejlesztői felhasználóhoz az Azure-ban hozzárendelt szerepkörök lehetővé teszik, hogy az alkalmazás helyileg csatlakozzon az Azure-szolgáltatáshoz.

Az Azure-beli üzemeltetési környezet konfigurálása

Ha az alkalmazás jelszó nélküli kapcsolatok használatára van konfigurálva, és helyileg fut, ugyanaz a kód hitelesíthető az Azure-szolgáltatásokban az Azure-beli üzembe helyezés után. Az alábbi szakaszok ismertetik, hogyan konfigurálhat egy üzembe helyezett alkalmazást az Azure Blob Storage-hoz való csatlakozáshoz felügyelt identitás használatával.

A felügyelt identitás létrehozása

Felhasználó által hozzárendelt felügyelt identitást az Azure Portalon vagy az Azure CLI-vel hozhat létre. Az alkalmazás az identitás használatával hitelesíti magát más szolgáltatásokban.

Azure Portal
Azure CLI

Az Azure Portal tetején keressen felügyelt identitásokat. Válassza ki a felügyelt identitások eredményét.
Válassza a +Létrehozás lehetőséget a Felügyelt identitások áttekintő oldal tetején.
Az Alapok lapon adja meg a következő értékeket:
- Előfizetés: Válassza ki a kívánt előfizetést.
- Erőforráscsoport: Válassza ki a kívánt erőforráscsoportot.
- Régió: Válasszon ki egy régiót a tartózkodási helyéhez közel.
- Név: Adjon meg egy felismerhető nevet az identitásának, például a MigrationIdentity nevet.
Válassza a Véleményezés + létrehozás lehetőséget a lap alján.
Amikor az ellenőrzés befejeződött, válassza a Létrehozás lehetőséget. Az Azure létrehoz egy új, felhasználó által hozzárendelt identitást.

Az erőforrás létrehozása után válassza az Ugrás az erőforrásra lehetőséget a felügyelt identitás részleteinek megtekintéséhez.

Az az identity create paranccsal hozzon létre egy felhasználó által hozzárendelt felügyelt identitást:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Felügyelt identitás társítása a webalkalmazással

Konfigurálnia kell a webalkalmazást a létrehozott felügyelt identitás használatára. Rendelje hozzá az identitást az alkalmazáshoz az Azure Portal vagy az Azure CLI használatával.

Hajtsa végre az alábbi lépéseket az Azure Portalon egy identitás alkalmazáshoz való társításához. Ugyanezek a lépések a következő Azure-szolgáltatásokra vonatkoznak:

Azure Spring Apps
Azure Container-alkalmazások
Azure-beli virtuális gépek
Azure Kubernetes Service

Lépjen a webalkalmazás áttekintő oldalára.
Válassza az Identitás lehetőséget a bal oldali navigációs sávon.
Az Identitás lapon váltson a Felhasználó által hozzárendelt lapra.
Válassza a + Hozzáadás lehetőséget a Felhasználó által hozzárendelt felügyelt identitás hozzáadása úszó panel megnyitásához.
Válassza ki az identitás létrehozásához korábban használt előfizetést.
Keresse meg a MigrationIdentity nevet, és válassza ki a keresési eredmények közül.
A Hozzáadás gombra kattintva társíthatja az identitást az alkalmazással.

Az alábbi Azure CLI-parancsokkal társíthat identitást az alkalmazáshoz:

Kérje le az az identity show paranccsal létrehozott felügyelt identitás azonosítóját. Másolja ki a következő lépésben használni kívánt kimeneti értéket.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Az az webapp identity assign paranccsal hozzárendelhet egy felügyelt identitást egy Azure-alkalmazás szolgáltatáspéldányhoz.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Felügyelt identitást hozzárendelhet egy Azure Spring Apps-példányhoz az az spring app identity assign paranccsal.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

A felügyelt identitásokat hozzárendelheti egy virtuális géphez az az containerapp identity assign paranccsal.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

A felügyelt identitásokat hozzárendelheti egy virtuális géphez az az vm identity assign paranccsal.

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Felügyelt identitást rendelhet egy Azure Kubernetes Service-példányhoz az az aks update paranccsal.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

A Service Connector használatával kapcsolatot hozhat létre egy Azure számítási üzemeltetési környezet és egy célszolgáltatás között az Azure CLI használatával. A Service Connector parancssori felületének parancsai automatikusan hozzárendelik a megfelelő szerepkört az identitáshoz. A Service Connectorról és a támogatott forgatókönyvekről az áttekintési oldalon tudhat meg többet.

Kérje le a paranccsal létrehozott felügyelt identitás ügyfél-azonosítóját az identity show . Másolja ki az értéket későbbi használatra.
```
az identity show --name MigrationIdentity --resource-group <your-resource-group> --query clientId
```

A szolgáltatáskapcsolat létrehozásához használja a megfelelő PARANCSSOR-parancsot:

Ha Azure-alkalmazás szolgáltatást használ, használja az az webapp connection parancsot:

az webapp connection create storage-blob \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Az Azure Spring Apps használata esetén használja az az spring connection parancsot:

az spring connection create storage-blob \
    --resource-group <resource-group-name> \
    --service <service-instance-name> \
    --app <app-name> \
    --deployment <deployment-name> \
    --target-resource-group <target-resource-group> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Az Azure Container Apps használata esetén használja az az containerapp connection parancsot:

az containerapp connection create storage-blob \
    --resource-group <resource-group-name> \
    --name <containerapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Szerepkörök hozzárendelése a felügyelt identitáshoz

Ezután engedélyeket kell adnia a tárfiók eléréséhez létrehozott felügyelt identitáshoz. Engedélyek megadásához rendeljen hozzá egy szerepkört a felügyelt identitáshoz, ugyanúgy, mint a helyi fejlesztőfelhasználónál.

Lépjen a tárfiók áttekintési oldalára, és válassza a Hozzáférés-vezérlés (IAM) lehetőséget a bal oldali navigációs sávon.
Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget
A Szerepkör keresőmezőben keresse meg a Storage Blob Data Közreműködőt, amely a blobok adatműveleteinek kezelésére használt gyakori szerepkör. Bármilyen szerepkört hozzárendelhet a használati esethez. Válassza ki a Tárblobadat-közreműködőt a listából, és válassza a Tovább gombot.
A Szerepkör-hozzárendelés hozzáadása képernyőn a Hozzáférés hozzárendelése beállításnál válassza a Felügyelt identitás lehetőséget. Ezután válassza a +Tagok kijelölése lehetőséget.
Az úszó panelen keresse meg a név alapján létrehozott felügyelt identitást, és válassza ki az eredmények közül. A Kijelölés gombra kattintva zárja be az úszó menüt.
Párszor válassza a Tovább lehetőséget, amíg a Véleményezés + hozzárendelés lehetőséget nem választja a szerepkör-hozzárendelés befejezéséhez.

Ahhoz, hogy egy szerepkört erőforrásszinten rendeljen hozzá az Azure CLI használatával, először le kell kérnie az erőforrás-azonosítót az az storage account show paranccsal. A kimeneti tulajdonságokat a --query paraméterrel szűrheti.

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Másolja ki a kimeneti azonosítót az előző parancsból. Ezután az Azure CLI szerepkör-hozzárendelési parancsával rendelhet hozzá szerepköröket.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Az alkalmazás kódjának frissítése

Konfigurálnia kell az alkalmazáskódot, hogy megkeresse azt a felügyelt identitást, amelyet az Azure-ban való üzembe helyezéskor hozott létre. Bizonyos esetekben az alkalmazás felügyelt identitásának explicit beállítása megakadályozza, hogy más környezeti identitások véletlenül észleljék és használják őket automatikusan.

A felügyelt identitás áttekintési oldalán másolja az ügyfél-azonosító értékét a vágólapra.
Alkalmazza a következő nyelvspecifikus módosításokat:
- .NET
- Ugrás
- Java
- Node.js
- Python
Hozzon létre egy objektumot DefaultAzureCredentialOptions , és adja át neki DefaultAzureCredential. Állítsa a ManagedIdentityClientId tulajdonságot az ügyfélazonosítóra.
```
DefaultAzureCredential credential = new(
    new DefaultAzureCredentialOptions
    {
        ManagedIdentityClientId = managedIdentityClientId
    });
```
Állítsa be a AZURE_CLIENT_ID környezeti változót a felügyelt identitás ügyfélazonosítójának. DefaultAzureCredential beolvassa ezt a környezeti változót.
Hívja meg a managedIdentityClientId metódust . Adja meg az ügyfélazonosítót.
```
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .managedIdentityClientId(managedIdentityClientId)
    .build();
```
Hozzon létre egy DefaultAzureCredentialClientIdOptions objektumot, amelynek managedIdentityClientId tulajdonsága az ügyfélazonosítóra van állítva. Adja át az objektumot a DefaultAzureCredential konstruktornak.
```
const credential = new DefaultAzureCredential({
  managedIdentityClientId
});
```
Állítsa a DefaultAzureCredential konstruktor managed_identity_client_id paraméterét az ügyfélazonosítóra.
```
credential = DefaultAzureCredential(
    managed_identity_client_id = managed_identity_client_id
)
```
A módosítás elvégzése után helyezze újra üzembe a kódot az Azure-ban a konfigurációs frissítések alkalmazásához.

Az alkalmazás tesztelése

A frissített kód üzembe helyezése után keresse meg az üzemeltetett alkalmazást a böngészőben. Az alkalmazásnak sikeresen csatlakoznia kell a tárfiókhoz. Ne feledje, hogy eltarthat néhány percig, amíg a szerepkör-hozzárendelések propagálása az Azure-környezetben történik. Az alkalmazás mostantól úgy van konfigurálva, hogy helyileg és éles környezetben is fusson anélkül, hogy a fejlesztőknek titkos kulcsokat kellene kezelnie az alkalmazásban.

Következő lépések

Ebben az oktatóanyagban megtanulta, hogyan migrálhat egy alkalmazást jelszó nélküli kapcsolatokba.

A cikkben tárgyalt fogalmak részletesebb megismeréséhez olvassa el az alábbi forrásokat:

Blobok hozzáférésének engedélyezése a Microsoft Entra-azonosítóval
A .NET Core keretrendszerrel kapcsolatos további információért lásd a .NET használatának első lépéseit 10 percben ismertető szakaszt.

Megosztás a következőn keresztül:

Alkalmazás migrálása jelszó nélküli kapcsolatok használatára az Azure Blob Storage használatával

Szerepkörök és felhasználók konfigurálása helyi fejlesztési hitelesítéshez

Az alkalmazás futtatása helyben

Az Azure-beli üzemeltetési környezet konfigurálása

A felügyelt identitás létrehozása

Felügyelt identitás társítása a webalkalmazással

Szerepkörök hozzárendelése a felügyelt identitáshoz

Az alkalmazás kódjának frissítése

Az alkalmazás tesztelése

Következő lépések

Visszajelzés

További források

Megosztás a következőn keresztül:

Alkalmazás migrálása jelszó nélküli kapcsolatok használatára az Azure Blob Storage használatával

Szerepkörök és felhasználók konfigurálása helyi fejlesztési hitelesítéshez

Bejelentkezés és az alkalmazáskód migrálása jelszó nélküli kapcsolatok használatára

Az alkalmazás futtatása helyben

Az Azure-beli üzemeltetési környezet konfigurálása

A felügyelt identitás létrehozása

Felügyelt identitás társítása a webalkalmazással

Szerepkörök hozzárendelése a felügyelt identitáshoz

Az alkalmazás kódjának frissítése

Az alkalmazás tesztelése

Következő lépések

Visszajelzés

További források