Memigrasikan aplikasi untuk menggunakan koneksi tanpa kata sandi dengan Azure Blob Storage

Artikel
10/18/2023

Permintaan aplikasi ke layanan Azure harus diautentikasi menggunakan konfigurasi seperti kunci akses akun atau koneksi tanpa kata sandi. Namun, Anda harus memprioritaskan koneksi tanpa kata sandi di aplikasi jika memungkinkan. Metode autentikasi tradisional yang menggunakan kata sandi atau kunci rahasia menciptakan risiko dan komplikasi keamanan. Kunjungi koneksi tanpa kata sandi untuk hub layanan Azure untuk mempelajari selengkapnya tentang keuntungan pindah ke koneksi tanpa kata sandi.

Tutorial berikut menjelaskan cara memigrasikan aplikasi yang ada untuk terhubung menggunakan koneksi tanpa kata sandi. Langkah-langkah migrasi yang sama ini harus berlaku apakah Anda menggunakan kunci akses, string koneksi, atau pendekatan berbasis rahasia lainnya.

Mengonfigurasikan peran dan pengguna untuk autentikasi pengembangan lokal

Saat mengembangkan secara lokal, pastikan bahwa akun pengguna yang mengakses data blob memiliki izin yang benar. Anda akan memerlukan Kontributor Data Blob Penyimpanan untuk membaca dan menulis data blob. Untuk menetapkan sendiri peran ini, Anda harus diberi peran Administrator Akses Pengguna, atau peran lain yang menyertakan tindakan Microsoft.Authorization/roleAssignments/write . Anda dapat menetapkan peran Azure RBAC kepada pengguna menggunakan portal Azure, Azure CLI, atau Azure PowerShell. Anda dapat mempelajari selengkapnya tentang cakupan yang tersedia untuk penetapan peran di halaman gambaran umum cakupan.

Dalam skenario ini, Anda akan menetapkan izin ke akun pengguna, yang tercakup ke akun penyimpanan, untuk mengikuti Prinsip Hak Istimewa Paling Rendah. Praktik ini hanya memberi pengguna izin minimum yang diperlukan dan menciptakan lingkungan produksi yang lebih aman.

Contoh berikut akan menetapkan peran Kontributor Data Blob Penyimpanan ke akun pengguna Anda, yang menyediakan akses baca dan tulis ke data blob di akun penyimpanan Anda.

Penting

Dalam kebanyakan kasus, dibutuhkan satu atau dua menit agar penetapan peran disebarluaskan di Azure, tetapi dalam kasus yang jarang terjadi mungkin perlu waktu hingga delapan menit. Jika Anda menerima kesalahan autentikasi saat pertama kali menjalankan kode, tunggu beberapa saat dan coba lagi.

Di portal Azure, temukan akun penyimpanan Anda menggunakan bilah pencarian utama atau navigasi kiri.
Di halaman gambaran umum akun penyimpanan, pilih Kontrol akses (IAM) dari menu kiri.
Di halaman Kontrol akses (IAM), pilih tab Penetapan peran.
Pilih + Tambahkan dari menu atas lalu Tambahkan penetapan peran dari menu drop-down yang dihasilkan.
Gunakan kotak pencarian untuk memfilter hasil ke peran yang diinginkan. Untuk contoh ini, cari Kontributor Data Blob Penyimpanan dan pilih hasil yang cocok, lalu pilih Berikutnya.
Di bagian Tetapkan akses ke, pilih Pengguna, grup, atau perwakilan layanan, lalu pilih + Pilih anggota.
Dalam dialog, cari nama pengguna Microsoft Entra Anda (biasanya alamat email user@domain Anda) lalu pilih Pilih di bagian bawah dialog.
Pilih Tinjau + tetapkan untuk masuk ke halaman akhir, lalu Tinjau + tetapkan lagi untuk menyelesaikan proses.

Untuk menetapkan peran di tingkat sumber daya menggunakan Azure CLI, Anda harus terlebih dahulu mengambil id sumber daya menggunakan perintah az storage account show. Anda dapat memfilter properti output menggunakan parameter --query.

az storage account show --resource-group '<your-resource-group-name>' --name '<your-storage-account-name>' --query id

Salin output Id dari perintah sebelumnya. Anda kemudian dapat menetapkan peran menggunakan perintah az role di Azure CLI.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Untuk menetapkan peran di tingkat sumber daya menggunakan Azure PowerShell, Anda harus terlebih dahulu mengambil ID sumber daya menggunakan Get-AzResource perintah .

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Salin nilai Id dari output perintah sebelumnya. Anda kemudian dapat menetapkan peran menggunakan perintah New-AzRoleAssignment di PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope <yourStorageAccountId>

Untuk pengembangan lokal, pastikan Anda diautentikasi dengan akun Microsoft Entra yang sama dengan yang Anda tetapkan perannya. Anda dapat mengautentikasi melalui alat pengembangan populer, seperti Azure CLI atau Azure PowerShell. Alat pengembangan yang dapat Anda autentikasi bervariasi di seluruh bahasa.

Masuk ke Azure melalui Azure CLI menggunakan perintah berikut:

az login

Anda harus menginstal Azure CLI untuk bekerja dengan DefaultAzureCredential melalui Visual Studio Code.

Di menu utama Visual Studio Code, buka Terminal > Terminal Baru.

Masuk ke Azure melalui Azure CLI menggunakan perintah berikut:

az login

Masuk ke Azure menggunakan PowerShell melalui perintah berikut:

Connect-AzAccount

Selanjutnya, perbarui kode Anda untuk menggunakan koneksi tanpa kata sandi.

Untuk digunakan DefaultAzureCredential dalam aplikasi .NET, instal Azure.Identity paket:
```
dotnet add package Azure.Identity
```
Di bagian atas file Anda, tambahkan kode berikut:
```
using Azure.Identity;
```

Identifikasi lokasi dalam kode Anda yang membuat BlobServiceClient untuk menyambungkan ke Azure Blob Storage. Perbarui kode berikut agar sesuai dengan contoh berikut:

DefaultAzureCredential credential = new();

BlobServiceClient blobServiceClient = new(
    new Uri($"https://{storageAccountName}.blob.core.windows.net"),
    credential);

Untuk digunakan DefaultAzureCredential dalam aplikasi Go, instal azidentity modul:
```
go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
```

Di bagian atas file Anda, tambahkan kode berikut:

import (
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
)

Identifikasi lokasi dalam kode Anda yang membuat Client instans untuk menyambungkan ke Azure Blob Storage. Perbarui kode berikut agar sesuai dengan contoh berikut:

cred, err := azidentity.NewDefaultAzureCredential(nil)
if err != nil {
    // handle error
}

serviceURL := fmt.Sprintf("https://%s.blob.core.windows.net", storageAccountName)
client, err := azblob.NewClient(serviceURL, cred, nil)
if err != nil {
    // handle error
}

Untuk digunakan DefaultAzureCredential dalam aplikasi Java, instal azure-identity paket melalui salah satu pendekatan berikut:
1. Sertakan file BOM.
2. Sertakan dependensi langsung.

Di bagian atas file Anda, tambahkan kode berikut:

import com.azure.identity.DefaultAzureCredentialBuilder;

Identifikasi lokasi dalam kode Anda yang membuat BlobServiceClient objek untuk disambungkan ke Azure Blob Storage. Perbarui kode berikut agar sesuai dengan contoh berikut:

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .build();
String endpoint = 
    String.format("https://%s.blob.core.windows.net", storageAccountName);

BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
    .endpoint(endpoint)
    .credential(credential)
    .buildClient();

Untuk digunakan DefaultAzureCredential dalam aplikasi Node.js, instal @azure/identity paket:
```
npm install --save @azure/identity
```

Di bagian atas file Anda, tambahkan kode berikut:

import { DefaultAzureCredential } from "@azure/identity";

Identifikasi lokasi dalam kode Anda yang membuat BlobServiceClient objek untuk disambungkan ke Azure Blob Storage. Perbarui kode berikut agar sesuai dengan contoh berikut:

const credential = new DefaultAzureCredential();

const blobServiceClient = new BlobServiceClient(
  `https://${storageAccountName}.blob.core.windows.net`,
  credential
);

Untuk digunakan DefaultAzureCredential dalam aplikasi Python, instal azure-identity paket:
```
pip install azure-identity
```

Di bagian atas file Anda, tambahkan kode berikut:

from azure.identity import DefaultAzureCredential

Identifikasi lokasi dalam kode Anda yang membuat BlobServiceClient objek untuk disambungkan ke Azure Blob Storage. Perbarui kode berikut agar sesuai dengan contoh berikut:

credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
    account_url = "https://%s.blob.core.windows.net" % storage_account_name,
    credential = credential
)

Pastikan untuk memperbarui nama akun penyimpanan di URI BlobServiceClient Anda. Anda dapat menemukan nama akun penyimpanan di halaman gambaran umum portal Azure.

Menjalankan aplikasi secara lokal

Setelah menerapkan perubahan kode ini, jalankan aplikasi Anda secara lokal. Konfigurasi baru akan mengambil kredensial lokal Anda, seperti Azure CLI, Visual Studio, atau IntelliJ. Peran yang Anda tetapkan untuk pengguna dev lokal Anda di Azure memungkinkan aplikasi Anda terhubung ke layanan Azure secara lokal.

Mengonfigurasikan lingkungan hosting Azure

Setelah aplikasi Anda dikonfigurasi untuk menggunakan koneksi tanpa kata sandi dan berjalan secara lokal, kode yang sama dapat mengautentikasi ke layanan Azure setelah disebarkan ke Azure. Bagian yang mengikuti menjelaskan cara mengonfigurasi aplikasi yang disebarkan untuk menyambungkan ke Azure Blob Storage menggunakan identitas terkelola.

Buat identitas terkelola

Anda dapat membuat identitas terkelola yang ditetapkan pengguna menggunakan portal Azure atau Azure CLI. Aplikasi Anda menggunakan identitas untuk mengautentikasi ke layanan lain.

Portal Azure
Azure CLI

Di bagian atas portal Azure, cari Identitas terkelola. Pilih hasil Identitas Terkelola.
Pilih + Buat di bagian atas halaman gambaran umum Identitas Terkelola.
Pada tab Dasar , masukkan nilai berikut ini:
- Langganan: Pilih langganan yang Anda inginkan.
- Grup Sumber Daya: Pilih grup sumber daya yang Anda inginkan.
- Wilayah: Pilih wilayah di dekat lokasi Anda.
- Nama: Masukkan nama yang dapat dikenali untuk identitas Anda, seperti MigrationIdentity.
Pilih Tinjau + buat di bagian bawah halaman.
Setelah pemeriksaan validasi selesai, pilih Buat. Azure membuat identitas baru yang ditetapkan pengguna.

Setelah sumber daya dibuat, pilih Buka sumber daya untuk melihat detail identitas terkelola.

Gunakan perintah az identity create untuk membuat identitas terkelola yang ditetapkan pengguna:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Mengaitkan identitas terkelola dengan aplikasi web Anda

Anda perlu mengonfigurasi aplikasi web untuk menggunakan identitas terkelola yang Anda buat. Tetapkan identitas ke aplikasi Anda menggunakan portal Azure atau Azure CLI.

Selesaikan langkah-langkah berikut di portal Azure untuk mengaitkan identitas dengan aplikasi Anda. Langkah-langkah yang sama ini berlaku untuk layanan Azure berikut ini:

Azure Spring Apps
Azure Container Apps
Komputer virtual Azure
Azure Kubernetes Service

Navigasi ke halaman gambaran umum aplikasi web Anda.
Pilih Identitas dari navigasi kiri.
Pada halaman Identitas , beralihlah ke tab Pengguna yang ditetapkan.
Pilih + Tambahkan untuk membuka flyout Tambahkan identitas terkelola yang ditetapkan pengguna.
Pilih langganan yang Anda gunakan sebelumnya untuk membuat identitas.
Cari MigrationIdentity menurut nama dan pilih dari hasil pencarian.
Pilih Tambahkan untuk mengaitkan identitas dengan aplikasi Anda.

Gunakan perintah Azure CLI berikut untuk mengaitkan identitas dengan aplikasi Anda:

Ambil ID identitas terkelola yang Anda buat menggunakan perintah az identity show . Salin nilai output yang akan digunakan di langkah berikutnya.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Anda dapat menetapkan identitas terkelola ke instans Azure App Service dengan perintah az webapp identity assign .

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Anda dapat menetapkan identitas terkelola ke instans Azure Spring Apps dengan perintah az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Anda dapat menetapkan identitas terkelola ke komputer virtual dengan perintah az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Anda dapat menetapkan identitas terkelola ke komputer virtual dengan perintah az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Anda dapat menetapkan identitas terkelola ke instans Azure Kubernetes Service (AKS) dengan perintah az aks update .

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Anda dapat menggunakan Konektor Layanan untuk membuat koneksi antara lingkungan hosting komputasi Azure dan layanan target menggunakan Azure CLI. Perintah Konektor Layanan CLI secara otomatis menetapkan peran yang tepat ke identitas Anda. Anda dapat mempelajari selengkapnya tentang Konektor Layanan dan skenario mana yang didukung di halaman gambaran umum.

Ambil ID klien identitas terkelola yang Anda buat menggunakan az identity show perintah . Salin nilai untuk digunakan nanti.
```
az identity show --name MigrationIdentity --resource-group <your-resource-group> --query clientId
```

Gunakan perintah CLI yang sesuai untuk membuat koneksi layanan:

Jika Anda menggunakan Azure App Service, gunakan perintah az webapp connection :

az webapp connection create storage-blob \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Jika Anda menggunakan Azure Spring Apps, gunakan perintah az spring connection :

az spring connection create storage-blob \
    --resource-group <resource-group-name> \
    --service <service-instance-name> \
    --app <app-name> \
    --deployment <deployment-name> \
    --target-resource-group <target-resource-group> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Jika Anda menggunakan Azure Container Apps, gunakan perintah az containerapp connection :

az containerapp connection create storage-blob \
    --resource-group <resource-group-name> \
    --name <containerapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Menetapkan peran ke identitas terkelola

Selanjutnya, Anda perlu memberikan izin ke identitas terkelola yang dibuat untuk mengakses akun penyimpanan. Berikan izin dengan menetapkan peran ke identitas terkelola, seperti yang Anda lakukan dengan pengguna pengembangan lokal Anda.

Buka halaman gambaran umum akun penyimpanan dan pilih Kontrol Akses (IAM) dari navigasi kiri.
Pilih Tambahkan penetapan peran
Dalam kotak pencarian Peran, cari Kontributor Data Blob Penyimpanan, yang merupakan peran umum yang digunakan untuk mengelola operasi data untuk blob. Anda dapat menetapkan peran apa pun yang sesuai untuk kasus penggunaan Anda. Pilih Kontributor Data Blob Penyimpanan dari daftar, lalu pilih Berikutnya.
Di layar Tambahkan penetapan peran, untuk opsi Tetapkan akses ke, pilih Identitas terkelola. Lalu, pilih +Pilih anggota.
Di flyout, cari identitas terkelola yang Anda buat berdasarkan nama dan pilih dari hasilnya. Pilih Pilih untuk menutup menu flyout.
Pilih Berikutnya beberapa kali hingga Anda dapat memilih Tinjau + tetapkan untuk menyelesaikan penetapan peran.

Untuk menetapkan peran di tingkat sumber daya menggunakan Azure CLI, Anda harus terlebih dahulu mengambil ID sumber daya menggunakan perintah az storage account show. Anda dapat memfilter properti output menggunakan parameter --query.

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Salin output ID dari perintah sebelumnya. Anda kemudian dapat menetapkan peran menggunakan perintah penetapan peran az dari Azure CLI.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Memperbarui kode aplikasi

Anda perlu mengonfigurasi kode aplikasi untuk mencari identitas terkelola tertentu yang Anda buat saat disebarkan ke Azure. Dalam beberapa skenario, secara eksplisit mengatur identitas terkelola untuk aplikasi juga mencegah identitas lingkungan lain terdeteksi dan digunakan secara otomatis.

Pada halaman gambaran umum identitas terkelola, salin nilai ID klien ke clipboard Anda.
Terapkan perubahan khusus bahasa berikut:
- .NET
- Go
- Java
- Node.js
- Python
Buat DefaultAzureCredentialOptions objek dan teruskan ke DefaultAzureCredential. Atur properti ManagedIdentityClientId ke ID klien.
```
DefaultAzureCredential credential = new(
    new DefaultAzureCredentialOptions
    {
        ManagedIdentityClientId = managedIdentityClientId
    });
```
Atur AZURE_CLIENT_ID variabel lingkungan ke ID klien identitas terkelola. DefaultAzureCredential membaca variabel lingkungan ini.
Panggil metode managedIdentityClientId. Teruskan ID klien ke dalamnya.
```
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .managedIdentityClientId(managedIdentityClientId)
    .build();
```
Buat DefaultAzureCredentialClientIdOptions objek dengan properti managedIdentityClientId yang diatur ke ID klien. Teruskan objek tersebut ke DefaultAzureCredential konstruktor.
```
const credential = new DefaultAzureCredential({
  managedIdentityClientId
});
```
Atur DefaultAzureCredential parameter managed_identity_client_id konstruktor ke ID klien.
```
credential = DefaultAzureCredential(
    managed_identity_client_id = managed_identity_client_id
)
```
Sebarkan ulang kode Anda ke Azure setelah melakukan perubahan ini agar pembaruan konfigurasi diterapkan.

Menguji aplikasi

Setelah menyebarkan kode yang diperbarui, telusuri ke aplikasi yang dihosting di browser. Aplikasi Anda harus berhasil terhubung ke akun penyimpanan. Perlu diingat bahwa mungkin perlu waktu beberapa menit agar penetapan peran disebarkan melalui lingkungan Azure Anda. Aplikasi Anda kini dikonfigurasikan untuk berjalan baik secara lokal maupun di lingkungan produksi tanpa pengembang harus mengelola rahasia dalam aplikasi itu sendiri.

Langkah berikutnya

Dalam tutorial ini, Anda belajar cara memigrasikan aplikasi ke koneksi tanpa kata sandi.

Anda dapat membaca sumber daya berikut untuk menjelajahi konsep yang dibahas dalam artikel ini secara lebih mendalam:

Mengotorisasi akses ke blob menggunakan ID Microsoft Entra
Untuk mempelajari selengkapnya tentang .NET Core, lihat Mulai menggunakan .NET dalam 10 menit.

Bagikan melalui

Memigrasikan aplikasi untuk menggunakan koneksi tanpa kata sandi dengan Azure Blob Storage

Mengonfigurasikan peran dan pengguna untuk autentikasi pengembangan lokal

Menjalankan aplikasi secara lokal

Mengonfigurasikan lingkungan hosting Azure

Buat identitas terkelola

Mengaitkan identitas terkelola dengan aplikasi web Anda

Menetapkan peran ke identitas terkelola

Memperbarui kode aplikasi

Menguji aplikasi

Langkah berikutnya

Saran dan Komentar

Sumber Daya Tambahan:

Bagikan melalui

Memigrasikan aplikasi untuk menggunakan koneksi tanpa kata sandi dengan Azure Blob Storage

Mengonfigurasikan peran dan pengguna untuk autentikasi pengembangan lokal

Masuk dan migrasikan kode aplikasi untuk menggunakan koneksi tanpa kata sandi

Menjalankan aplikasi secara lokal

Mengonfigurasikan lingkungan hosting Azure

Buat identitas terkelola

Mengaitkan identitas terkelola dengan aplikasi web Anda

Menetapkan peran ke identitas terkelola

Memperbarui kode aplikasi

Menguji aplikasi

Langkah berikutnya

Saran dan Komentar

Sumber Daya Tambahan: