Migrar um aplicativo para usar conexões sem senha com o Armazenamento de Blobs do Azure

As solicitações de aplicativo para os Serviços do Azure devem ser autenticadas por meio de chaves de acesso de conta ou conexões sem senha. No entanto, você deve priorizar conexões sem senha em seus aplicativos quando possível. Métodos de autenticação tradicionais que usam senhas ou chaves secretas criam riscos e complicações de segurança. Visite as de conexões sem senha para os serviços do Azure para saber mais sobre as vantagens de migrar para conexões sem senha.

O tutorial a seguir explica como migrar um aplicativo existente para se conectar por meio de conexões sem senha. Essas mesmas etapas de migração devem ser aplicadas se você estiver usando chaves de acesso, cadeias de conexão ou outra abordagem baseada em segredos.

Configurar funções e usuários para autenticação de desenvolvimento local

Ao desenvolver localmente, verifique se a conta de usuário que está acessando os dados de blob tem as permissões corretas. Você precisará do Colaborador de Dados do Blob de Armazenamento para ler e gravar os dados de blob. Para atribuir essa função a si mesmo, você precisará receber a atribuição da função Administrador de Acesso do Usuário ou de outra função que inclua a ação Microsoft.Authorization/roleAssignments/write. É possível atribuir funções RBAC do Azure a um usuário usando o portal do Azure, a CLI do Azure ou o Azure PowerShell. Você pode saber mais sobre os escopos disponíveis para atribuições de função na página de visão geral do escopo.

Nesse cenário, você atribuirá permissões à sua conta de usuário, no escopo da conta de armazenamento, para seguir o Princípio do Privilégio Mínimo. Essa prática fornece aos usuários apenas as permissões mínimas necessárias e cria ambientes de produção mais seguros.

O exemplo a seguir atribuirá a função de Colaborador de Dados do Blob de Armazenamento à sua conta de usuário, que fornece acesso de leitura e gravação aos dados de blob na sua conta de armazenamento.

Importante

Na maioria dos casos, levará um ou dois minutos para a atribuição de função se propagar no Azure, mas em casos raros pode levar até oito minutos. Se você receber erros de autenticação ao executar o código pela primeira vez, aguarde alguns instantes e tente novamente.

  1. No portal do Azure, localize sua conta de armazenamento usando a barra de pesquisa principal ou a navegação à esquerda.

  2. Na página de visão geral da conta de armazenamento, selecione Controle de acesso (IAM) no menu à esquerda.

  3. Na página Controle de acesso (IAM), selecione a guia Atribuições de função.

  4. Selecione + Adicionar no menu superior e, em seguida, Adicionar atribuição de função no menu suspenso resultante.

    Captura de tela mostrando como atribuir uma função.

  5. Use a caixa de pesquisa para filtrar os resultados para a função desejada. Para este exemplo, pesquise o Colaborador de Dados do Blob de Armazenamento e selecione o resultado correspondente e, em seguida, escolha Avançar.

  6. Em Atribuir acesso a, selecione Usuário, grupo ou entidade de serviço e, em seguida, selecione + Selecionar membros.

  7. No diálogo, pesquise seu nome de usuário do Microsoft Entra (geralmente seu endereço de email user@domain) e escolha Selecionar na parte inferior do diálogo.

  8. Selecione Revisar + atribuir para ir para a página final e, em seguida, Revisar + atribuir novamente para concluir o processo.

Entrar e migrar o código do aplicativo para usar conexões sem senha

Para desenvolvimento local, você deve estar autenticado com a mesma conta do Microsoft Entra à qual a função foi atribuída. Você pode autenticar por meio de ferramentas de desenvolvimento populares, como a CLI do Azure ou o Azure PowerShell. As ferramentas de desenvolvimento com as quais você pode autenticar variam entre os idiomas.

Entre no Azure por meio da CLI do Azure usando o seguinte comando:

az login

Em seguida, atualize seu código para usar conexões sem senha.

  1. Para usar DefaultAzureCredential em um aplicativo .NET, instale o pacote Azure.Identity:

    dotnet add package Azure.Identity
    
  2. Na parte superior do seu arquivo, adicione o código a seguir:

    using Azure.Identity;
    
  3. Identifique os locais em seu código que criam um BlobServiceClient para se conectar ao Armazenamento de Blobs do Azure. Atualize o código para que ele corresponda ao seguinte exemplo:

    DefaultAzureCredential credential = new();
    
    BlobServiceClient blobServiceClient = new(
        new Uri($"https://{storageAccountName}.blob.core.windows.net"),
        credential);
    
  1. Atualize o nome da conta de armazenamento no URI do BlobServiceClient. Você pode encontrar o nome da conta de armazenamento na página de visão geral do portal do Azure.

    Captura de tela mostrando como localizar o nome da conta de armazenamento.

Executar o aplicativo localmente

Depois de fazer essas alterações de código, execute seu aplicativo localmente. A nova configuração deve selecionar suas credenciais locais, como a CLI do Azure, o Visual Studio ou o IntelliJ. As funções atribuídas ao usuário de desenvolvimento local no Azure permitem que seu aplicativo se conecte ao serviço do Azure localmente.

Configurar o ambiente de hospedagem do Azure

Depois que o aplicativo estiver configurado para usar conexões sem senha e for executado localmente, o mesmo código poderá ser autenticado nos serviços do Azure depois de implantado no Azure. As seções a seguir explicam como configurar um aplicativo implantado para se conectar ao Armazenamento de Blobs do Azure usando uma identidade gerenciada.

Criar a identidade gerenciada

Você pode criar uma identidade gerenciada atribuída pelo usuário usando o portal do Azure ou a CLI do Azure. Seu aplicativo usa a identidade para se autenticar em outros serviços.

  1. Na parte superior do portal do Azure, pesquise Identidades gerenciadas. Selecione o resultado Identidades gerenciadas.
  2. Selecione + Criar na parte superior da página de visão geral de Identidades gerenciadas.
  3. Na guia Informações Básicas, insira os seguintes valores:
    • Assinatura: selecione a assinatura desejada.
    • Grupo de recursos: selecione o grupo de recursos desejado.
    • Região: selecione uma região próxima à sua localização.
    • Nome: insira um nome reconhecível para sua identidade, como MigrationIdentity.
  4. Selecione Revisar + criar na parte inferior da página.
  5. Quando as verificações de validação forem concluídas, selecione Criar. O Azure cria uma nova identidade atribuída pelo usuário.

Depois que o recurso for criado, selecione Ir para o recurso para exibir os detalhes da identidade gerenciada.

Uma captura de tela mostrando como criar uma identidade gerenciada atribuída pelo usuário.

Associar a identidade gerenciada ao seu aplicativo Web

Você precisa configurar seu aplicativo Web para usar a identidade gerenciada que você criou. Atribua a identidade ao seu aplicativo usando o portal do Azure ou a CLI do Azure.

Conclua as etapas a seguir no portal do Azure para associar uma identidade ao seu aplicativo. Essas mesmas etapas se aplicam aos seguintes serviços do Azure:

  • Azure Spring Apps
  • Aplicativos de Contêiner do Azure
  • Máquinas Virtuais do Azure
  • Serviço de Kubernetes do Azure
  1. Navegue até a página de visão geral do seu aplicativo Web.

  2. Selecione Identidade no painel de navegação esquerdo.

  3. Na página Identidade, alterne para a guia Atribuída pelo usuário.

  4. Selecione + Adicionar para abrir o submenu Adicionar identidade gerenciada atribuída pelo usuário.

  5. Selecione a assinatura que você usou anteriormente para criar a identidade.

  6. Pesquise a MigrationIdentity pelo nome e selecione-a nos resultados da pesquisa.

  7. Selecione Adicionar para associar a identidade ao seu aplicativo.

    Captura de tela mostrando como criar uma identidade gerenciada atribuída pelo usuário.

Atribuir funções à identidade gerenciada

Em seguida, você precisa conceder permissões à identidade gerenciada criada para acessar sua conta de armazenamento. Conceda permissões atribuindo uma função à identidade gerenciada, assim como fez com o usuário de desenvolvimento local.

  1. Navegue até a página de visão geral da conta de armazenamento e selecione Controle de Acesso (IAM) na navegação à esquerda.

  2. Escolha Adicionar atribuição de função.

    Captura de tela mostrando como adicionar uma função a uma identidade gerenciada.

  3. Na caixa de pesquisa Função, pesquise Contribuinte de dados de blobs de armazenamento, que é uma função comum usada para gerenciar operações de dados para blobs. Você pode atribuir qualquer função apropriada para seu caso de uso. Selecione o Colaborador de Dados do Blob de Armazenamento na lista e escolha Avançar.

  4. Na tela Adicionar atribuição de função, para a opção Atribuir acesso à, selecione Identidade gerenciada. Em seguida, escolha +Selecionar membros.

  5. No submenu, pesquise pelo nome a identidade gerenciada que você criou e selecione-a nos resultados. Escolha Selecionar para fechar o submenu.

    Captura de tela mostrando como selecionar a identidade gerenciada atribuída.

  6. Selecione Avançar algumas vezes até que você possa selecionar Revisão + atribuir para concluir a atribuição de função.

Atualize o código do aplicativo

Você precisa configurar o código do aplicativo para procurar a identidade gerenciada específica que você criou quando ela for implantada no Azure. Em alguns cenários, definir explicitamente a identidade gerenciada para o aplicativo também impede que outras identidades de ambiente sejam detectadas acidentalmente e usadas automaticamente.

  1. Na página de visão geral da identidade gerenciada, copie o valor da ID do cliente para a área de transferência.

  2. Aplicar as seguintes alterações específicas do idioma:

    Crie um objeto DefaultAzureCredentialOptions e passe-o para DefaultAzureCredential. Defina a propriedade ManagedIdentityClientId como ID do cliente.

    DefaultAzureCredential credential = new(
        new DefaultAzureCredentialOptions
        {
            ManagedIdentityClientId = managedIdentityClientId
        });
    
  3. Reimplante seu código no Azure depois de fazer essa alteração para que as atualizações de configuração sejam aplicadas.

Testar o aplicativo

Depois de implantar o código atualizado, navegue até o aplicativo hospedado no navegador. Seu aplicativo deve ser capaz de se conectar à conta de armazenamento com êxito. Lembre-se de que pode levar vários minutos para que as atribuições de função se propaguem pelo ambiente do Azure. Seu aplicativo agora está configurado para ser executado localmente e em um ambiente de produção sem que os desenvolvedores precisem gerenciar segredos no próprio aplicativo.

Próximas etapas

Neste tutorial, você aprendeu a migrar um aplicativo para conexões sem senha.

Você pode ler os seguintes recursos para explorar os conceitos discutidos neste artigo com mais detalhes: