Migrace aplikace pro použití bez hesel ve službě Azure Queue Storage

Článek
10/18/2023

Žádosti o aplikace na služby Azure musí být ověřeny pomocí konfigurací, jako jsou přístupové klíče účtu nebo připojení bez hesla. Pokud je to však možné, měli byste upřednostnit připojení bez hesla ve vašich aplikacích. Tradiční metody ověřování, které používají hesla nebo tajné klíče, vytvářejí bezpečnostní rizika a komplikace. Další informace o výhodách přechodu na připojení bez hesla najdete v centru služeb Azure.

Následující kurz vysvětluje, jak migrovat existující aplikaci pro připojení pomocí připojení bez hesla. Stejný postup migrace by se měl použít bez ohledu na to, jestli používáte přístupové klíče, připojovací řetězec nebo jiný přístup založený na tajných klíčích.

Konfigurace místního vývojového prostředí

Připojení bez hesla je možné nakonfigurovat tak, aby fungovala pro místní prostředí i prostředí hostovaná v Azure. V této části použijete konfigurace, které jednotlivým uživatelům umožní ověřovat se ve službě Azure Queue Storage pro místní vývoj.

Přiřazování rolí uživatelů

Při místním vývoji se ujistěte, že uživatelský účet, který přistupuje ke službě Queue Storage, má správná oprávnění. Ke čtení a zápisu dat fronty budete potřebovat roli Přispěvatel dat fronty služby Storage. Abyste mohli tuto roli přiřadit sami sobě, musíte mít přiřazenou roli Správce uživatelských přístupů nebo jinou roli, která zahrnuje akci Microsoft.Authorization/roleAssignments/write . Role Azure RBAC můžete uživateli přiřadit pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu. Další informace o dostupných oborech pro přiřazení rolí najdete na stránce přehledu oboru.

Následující příklad přiřadí roli Přispěvatel dat fronty úložiště k vašemu uživatelskému účtu. Tato role uděluje přístup pro čtení a zápis k datům fronty ve vašem účtu úložiště.

Na webu Azure Portal vyhledejte svůj účet úložiště pomocí hlavního panelu hledání nebo levé navigace.
Na stránce přehledu účtu úložiště v nabídce vlevo vyberte Řízení přístupu (IAM ).
Na stránce Řízení přístupu (IAM) vyberte kartu Přiřazení rolí.
V horní nabídce vyberte + Přidat a potom přidejte přiřazení role z výsledné rozevírací nabídky.
Pomocí vyhledávacího pole vyfiltrujte výsledky podle požadované role. V tomto příkladu vyhledejte Přispěvatel dat fronty služby Storage a vyberte odpovídající výsledek a pak zvolte Další.
V části Přiřadit přístup vyberte Uživatel, skupina nebo instanční objekt a pak zvolte + Vybrat členy.
V dialogovém okně vyhledejte své uživatelské jméno Microsoft Entra (obvykle vaše user@domain e-mailová adresa) a pak v dolní části dialogového okna zvolte Vybrat .
Vyberte Zkontrolovat a přiřadit přejděte na poslední stránku a pak proces dokončete opětovnou kontrolou a přiřazením .

Pokud chcete přiřadit roli na úrovni prostředku pomocí Azure CLI, musíte nejprve pomocí příkazu načíst ID az storage account show prostředku. Výstupní vlastnosti můžete filtrovat pomocí parametru --query .

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Zkopírujte výstup Id z předchozího příkazu. Role pak můžete přiřadit příkazem az role v Azure CLI.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Queue Data Contributor" \
    --scope "<your-resource-id>"

Pokud chcete přiřadit roli na úrovni prostředku pomocí Azure PowerShellu, musíte nejprve pomocí příkazu načíst ID Get-AzResource prostředku.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Id Zkopírujte hodnotu z předchozího výstupu příkazu. Role pak můžete přiřadit pomocí příkazu New-AzRoleAssignment v PowerShellu.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Queue Data Contributor" `
    -Scope <yourStorageAccountId>

Důležité

Ve většině případů bude trvat minutu nebo dvě, než se přiřazení role rozšíří v Azure, ale ve výjimečných případech může trvat až osm minut. Pokud při prvním spuštění kódu dojde k chybám ověřování, chvíli počkejte a zkuste to znovu.

V případě místního vývoje se ujistěte, že jste ověřeni pomocí stejného účtu Microsoft Entra, ke kterému jste přiřadili roli. Ověřování můžete provést prostřednictvím oblíbených vývojových nástrojů, jako je Azure CLI nebo Azure PowerShell. Vývojové nástroje, pomocí kterých se můžete ověřovat, se liší v různých jazycích.

Přihlaste se k Azure přes Azure CLI pomocí následujícího příkazu:

az login

Abyste mohli pracovat pomocí DefaultAzureCredential editoru Visual Studio Code, budete muset nainstalovat Azure CLI.

V hlavní nabídce editoru Visual Studio Code přejděte do terminálu > Nový terminál.

Přihlaste se k Azure přes Azure CLI pomocí následujícího příkazu:

az login

Přihlaste se k Azure pomocí PowerShellu pomocí následujícího příkazu:

Connect-AzAccount

Aktualizace kódu aplikace tak, aby používala připojení bez hesla

Klientská knihovna Azure Identity pro každý z následujících ekosystémů poskytuje DefaultAzureCredential třídu, která zpracovává ověřování bez hesla do Azure:

DefaultAzureCredential podporuje více metod ověřování. Metoda, která se má použít, je určena za běhu. Tento přístup umožňuje vaší aplikaci používat různé metody ověřování v různých prostředích (místní a produkční) bez implementace kódu specifického pro prostředí. Podívejte se na předchozí odkazy pro pořadí a umístění, ve kterých DefaultAzureCredential se hledají přihlašovací údaje.

Pokud chcete použít DefaultAzureCredential v aplikaci .NET, nainstalujte Azure.Identity balíček:
```
dotnet add package Azure.Identity
```
Do horní části souboru přidejte následující kód:
```
using Azure.Identity;
```

Identifikujte umístění v kódu, která vytvoří QueueClient objekt pro připojení ke službě Azure Queue Storage. Aktualizujte kód tak, aby odpovídal následujícímu příkladu:

DefaultAzureCredential credential = new();

QueueClient queueClient = new(
     new Uri($"https://{storageAccountName}.queue.core.windows.net/{queueName}"),
     new DefaultAzureCredential());

Pokud chcete použít DefaultAzureCredential v aplikaci Go, nainstalujte azidentity modul:
```
go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
```

Do horní části souboru přidejte následující kód:

import (
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
)

Identifikujte umístění v kódu, která vytvoří QueueClient instanci pro připojení ke službě Azure Queue Storage. Aktualizujte kód tak, aby odpovídal následujícímu příkladu:

cred, err := azidentity.NewDefaultAzureCredential(nil)
if err != nil {
    // handle error
}

serviceURL := fmt.Sprintf("https://%s.queue.core.windows.net/", storageAccountName)
client, err := azqueue.NewQueueClient(serviceURL, cred, nil)
if err != nil {
    // handle error
}

Pokud chcete balíček použít DefaultAzureCredential v aplikaci v Javě, nainstalujte azure-identity balíček jedním z následujících přístupů:
1. Zahrňte soubor kusovníku.
2. Zahrnout přímou závislost.

Do horní části souboru přidejte následující kód:

import com.azure.identity.DefaultAzureCredentialBuilder;

Identifikujte umístění v kódu, která vytvoří QueueClient objekt pro připojení ke službě Azure Queue Storage. Aktualizujte kód tak, aby odpovídal následujícímu příkladu:

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .build();
String endpoint = 
    String.format("https://%s.queue.core.windows.net/", storageAccountName);

QueueClient queueClient = new QueueClientBuilder()
    .endpoint(endpoint)
    .queueName(queueName)
    .credential(credential)
    .buildClient();

Pokud chcete použít DefaultAzureCredential v aplikaci Node.js, nainstalujte @azure/identity balíček:
```
npm install --save @azure/identity
```

Do horní části souboru přidejte následující kód:

import { DefaultAzureCredential } from "@azure/identity";

Identifikujte umístění v kódu, která vytvoří QueueClient objekt pro připojení ke službě Azure Queue Storage. Aktualizujte kód tak, aby odpovídal následujícímu příkladu:
```
const credential = new DefaultAzureCredential();

const queueClient = new QueueClient(
  `https://${storageAccountName}.queue.core.windows.net/${queueName}`,
  credential
);
```

Pokud chcete balíček použít DefaultAzureCredential v aplikaci v Pythonu, nainstalujte balíček azure-identity :
```
pip install azure-identity
```
Do horní části souboru přidejte následující kód:
```
from azure.identity import DefaultAzureCredential
```

Identifikujte umístění v kódu, která vytvoří QueueClient objekt pro připojení ke službě Azure Queue Storage. Aktualizujte kód tak, aby odpovídal následujícímu příkladu:

credential = DefaultAzureCredential()

queue_client = QueueClient(
    account_url = "https://%s.blob.core.windows.net" % storage_account_name,
    queue_name = queue_name,
    credential = credential
)

Nezapomeňte aktualizovat název účtu úložiště v identifikátoru URI objektu QueueClient . Název účtu úložiště najdete na stránce přehledu webu Azure Portal.

Místní spuštění aplikace

Po provedení těchto změn kódu spusťte aplikaci místně. Nová konfigurace by měla vyzvednout vaše místní přihlašovací údaje, jako je Azure CLI, Visual Studio nebo IntelliJ. Role, které jste přiřadili uživateli v Azure, umožňují vaší aplikaci připojit se ke službě Azure místně.

Konfigurace hostitelského prostředí Azure

Jakmile je vaše aplikace nakonfigurovaná tak, aby používala připojení bez hesla a běží místně, může se stejný kód po nasazení do Azure ověřit ve službách Azure. Následující části vysvětlují, jak nakonfigurovat nasazenou aplikaci pro připojení ke službě Azure Queue Storage pomocí spravované identity. Spravované identity nabízejí ve službě Microsoft Entra ID automaticky spravované identity aplikací používaných při připojování k prostředkům, které podporují ověřování službou Microsoft Entra. Další informace o spravovaných identitách:

Vytvoření spravované identity

Spravovanou identitu přiřazenou uživatelem můžete vytvořit pomocí webu Azure Portal nebo Azure CLI. Vaše aplikace používá identitu k ověření v jiných službách.

Azure Portal
Azure CLI

V horní části webu Azure Portal vyhledejte spravované identity. Vyberte výsledek spravovaných identit.
V horní části stránky přehledu spravovaných identit vyberte + Vytvořit.
Na kartě Základy zadejte následující hodnoty:
- Předplatné: Vyberte požadované předplatné.
- Skupina prostředků: Vyberte požadovanou skupinu prostředků.
- Oblast: Vyberte oblast blízko vaší polohy.
- Název: Zadejte rozpoznatelný název vaší identity, například MigrationIdentity.
Vyberte Zkontrolovat a vytvořit v dolní části stránky.
Po dokončení ověření vyberte Vytvořit. Azure vytvoří novou identitu přiřazenou uživatelem.

Po vytvoření prostředku vyberte Přejít k prostředku a zobrazte podrobnosti o spravované identitě.

Pomocí příkazu az identity create vytvořte spravovanou identitu přiřazenou uživatelem:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Přidružení spravované identity k webové aplikaci

Musíte nakonfigurovat webovou aplikaci tak, aby používala spravovanou identitu, kterou jste vytvořili. Přiřaďte identitu k aplikaci pomocí webu Azure Portal nebo Azure CLI.

Pomocí následujících kroků na webu Azure Portal přidružte identitu k vaší aplikaci. Stejný postup platí pro následující služby Azure:

Azure Spring Apps
Azure Container Apps
Virtuální počítače Azure
Azure Kubernetes Service

Přejděte na stránku přehledu vaší webové aplikace.
V levém navigačním panelu vyberte Identitu .
Na stránce Identita přepněte na kartu Přiřazené uživatelem.
Výběrem + Přidat otevřete informační nabídku Přidat spravovanou identitu přiřazenou uživatelem.
Vyberte předplatné, které jste použili dříve k vytvoření identity.
Vyhledejte migrationIdentity podle názvu a vyberte ji z výsledků hledání.
Vyberte Přidat a přidružte identitu k vaší aplikaci.

Pomocí následujících příkazů Azure CLI přidružte identitu k vaší aplikaci:

Načtěte ID spravované identity, kterou jste vytvořili pomocí příkazu az identity show . Zkopírujte výstupní hodnotu, kterou chcete použít v dalším kroku.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Spravovanou identitu můžete přiřadit instanci služby Aplikace Azure pomocí příkazu az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Spravovanou identitu můžete přiřadit instanci Azure Spring Apps pomocí příkazu az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Spravovanou identitu můžete přiřadit k virtuálnímu počítači pomocí příkazu az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Spravovanou identitu můžete přiřadit k virtuálnímu počítači pomocí příkazu az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Spravovanou identitu můžete přiřadit k instanci služby Azure Kubernetes Service (AKS) pomocí příkazu az aks update .

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Konektor služby můžete použít k vytvoření připojení mezi výpočetním prostředím Azure a cílovou službou pomocí Azure CLI. Příkazy rozhraní příkazového řádku konektoru služby automaticky přiřazují vaší identitě správnou roli. Další informace o konektoru služby a o podporovaných scénářích najdete na stránce přehledu.

Načtěte ID klienta spravované identity, kterou jste vytvořili pomocí az identity show příkazu. Zkopírujte hodnotu pro pozdější použití.
```
az identity show \
    --name MigrationIdentity \
    --resource-group <your-resource-group> \
    --query clientId
```

K navázání připojení služby použijte příslušný příkaz rozhraní příkazového řádku:

Pokud používáte službu Aplikace Azure, použijte příkaz az webapp connection:

az webapp connection create storage-queue \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Pokud používáte Azure Spring Apps, použijte příkaz az spring-cloud connection :

az spring-cloud connection create storage-queue \
    --resource-group <resource-group-name> \
    --service <service-instance-name> \
    --app <app-name> \
    --deployment <deployment-name> \
    --target-resource-group <target-resource-group> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Pokud používáte Azure Container Apps, použijte příkaz az containerapp connection :

az containerapp connection create storage-queue \
    --resource-group <resource-group-name> \
    --name <containerapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Přiřazení rolí ke spravované identitě

Dále musíte udělit oprávnění spravované identitě, kterou jste vytvořili pro přístup k účtu úložiště. Udělte oprávnění přiřazením role spravované identitě stejně jako u místního vývojového uživatele.

Přejděte na stránku přehledu účtu úložiště a v levém navigačním panelu vyberte Řízení přístupu (IAM ).
Zvolte Přidat přiřazení role.
Ve vyhledávacím poli role vyhledejte Přispěvatel dat fronty úložiště, což je běžná role používaná ke správě operací s daty pro fronty. Můžete přiřadit libovolnou roli, která je vhodná pro váš případ použití. V seznamu vyberte Přispěvatel dat fronty úložiště a zvolte Další.
Na obrazovce Přidat přiřazení role jako možnost Přiřadit přístup vyberte Spravovaná identita. Pak zvolte +Vybrat členy.
V informačním rámečku vyhledejte spravovanou identitu, kterou jste vytvořili podle názvu, a vyberte ji z výsledků. Výběrem možnosti Vybrat zavřete rozevírací nabídku.
Vyberte Další několikrát, dokud nebudete moct vybrat Zkontrolovat a přiřadit, abyste dokončili přiřazení role.

Pokud chcete přiřadit roli na úrovni prostředku pomocí Azure CLI, musíte nejprve načíst ID prostředku pomocí příkazu az storage account show. Výstupní vlastnosti můžete filtrovat pomocí parametru --query .

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Zkopírujte ID výstupu z předchozího příkazu. Role pak můžete přiřadit pomocí příkazu az role assignment v Azure CLI.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Queue Data Contributor" \
    --scope "<your-resource-id>"

Aktualizace kódu aplikace

Musíte nakonfigurovat kód aplikace tak, aby hledal konkrétní spravovanou identitu, kterou jste vytvořili při nasazení do Azure. V některých scénářích explicitně nastavíte spravovanou identitu aplikace, aby se zabránilo náhodnému zjištění a použití jiných identit prostředí.

Na stránce přehledu spravované identity zkopírujte hodnotu ID klienta do schránky.
Použijte následující změny specifické pro jazyk:
- .NET
- Přejít
- Java
- Node.js
- Python
Vytvořte DefaultAzureCredentialOptions objekt a předejte ho .DefaultAzureCredential Nastavte vlastnost ManagedIdentityClientId na ID klienta.
```
DefaultAzureCredential credential = new(
    new DefaultAzureCredentialOptions
    {
        ManagedIdentityClientId = managedIdentityClientId
    });
```
Nastavte proměnnou AZURE_CLIENT_ID prostředí na ID klienta spravované identity. DefaultAzureCredential přečte tuto proměnnou prostředí.
Volejte metodu managedIdentityClientId . Předejte mu ID klienta.
```
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .managedIdentityClientId(managedIdentityClientId)
    .build();
```
Vytvořte DefaultAzureCredentialClientIdOptions objekt s vlastností managedIdentityClientId nastavenou na ID klienta. Předejte tento objekt konstruktoru DefaultAzureCredential .
```
const credential = new DefaultAzureCredential({
  managedIdentityClientId
});
```
DefaultAzureCredential Nastavte parametr managed_identity_client_id konstruktoru na ID klienta.
```
credential = DefaultAzureCredential(
    managed_identity_client_id = managed_identity_client_id
)
```
Po provedení této změny znovu nasaďte kód do Azure, aby se aktualizace konfigurace použily.

Otestování aplikace

Po nasazení aktualizovaného kódu přejděte do hostované aplikace v prohlížeči. Vaše aplikace by se měla úspěšně připojit k účtu úložiště. Mějte na paměti, že rozšíření přiřazení rolí v prostředí Azure může trvat několik minut. Vaše aplikace je teď nakonfigurovaná tak, aby běžela místně i v produkčním prostředí, aniž by vývojáři museli spravovat tajné kódy v samotné aplikaci.

Další kroky

V tomto kurzu jste zjistili, jak migrovat aplikaci na připojení bez hesla.

Podrobnější informace o konceptech probíraných v tomto článku najdete v následujících zdrojích informací:

Autorizace přístupu k objektům blob pomocí Microsoft Entra ID
Další informace o .NET najdete v tématu Začínáme s .NET za 10 minut.

Sdílet prostřednictvím

Migrace aplikace pro použití bez hesel ve službě Azure Queue Storage

Konfigurace místního vývojového prostředí

Přiřazování rolí uživatelů

Aktualizace kódu aplikace tak, aby používala připojení bez hesla

Místní spuštění aplikace

Konfigurace hostitelského prostředí Azure

Vytvoření spravované identity

Přidružení spravované identity k webové aplikaci

Přiřazení rolí ke spravované identitě

Aktualizace kódu aplikace

Otestování aplikace

Další kroky

Váš názor

Další materiály

Sdílet prostřednictvím

Migrace aplikace pro použití bez hesel ve službě Azure Queue Storage

Konfigurace místního vývojového prostředí

Přiřazování rolí uživatelů

Místní přihlášení k Azure

Aktualizace kódu aplikace tak, aby používala připojení bez hesla

Místní spuštění aplikace

Konfigurace hostitelského prostředí Azure

Vytvoření spravované identity

Přidružení spravované identity k webové aplikaci

Přiřazení rolí ke spravované identitě

Aktualizace kódu aplikace

Otestování aplikace

Další kroky

Váš názor

Další materiály