Asignación de una directiva de acceso de seguridad a los puntos de conexión HTTP y HTTPS

Si aplica una directiva de RunAs y el manifiesto de servicio declara los recursos de punto de conexión HTTP, debe especificar SecurityAccessPolicy. El elemento SecurityAccessPolicy garantiza que los puertos asignados a estos puntos de conexión se restrinjan correctamente a la cuenta de usuario que el servicio ejecuta. En caso contrario, http.sys no tendrá acceso al servicio y aparecerán errores en las llamadas del cliente. En el ejemplo siguiente se aplica la cuenta Customer1 a un punto de conexión denominado EndpointName, que le concede derechos de acceso total.

<Policies>
  <RunAsPolicy CodePackageRef="Code" UserRef="Customer1" />
  <!--SecurityAccessPolicy is needed if RunAsPolicy is defined and the Endpoint is http -->
  <SecurityAccessPolicy ResourceRef="EndpointName" PrincipalRef="Customer1" />
</Policies>

En el caso de un punto de conexión HTTPS, también es preciso indicar el nombre del certificado que se va a devolver al cliente. Hace referencia al certificado mediante EndpointBindingPolicy. El certificado se define en la sección Certificados del manifiesto de aplicación.

<Policies>
  <RunAsPolicy CodePackageRef="Code" UserRef="Customer1" />
  <!--SecurityAccessPolicy is needed if RunAsPolicy is defined and the Endpoint is http -->
  <SecurityAccessPolicy ResourceRef="EndpointName" PrincipalRef="Customer1" />
  <!--EndpointBindingPolicy is needed if the EndpointName is secured with https -->
  <EndpointBindingPolicy EndpointRef="EndpointName" CertificateRef="Cert1" />
</Policies>

Advertencia

Si usa HTTPS, no utilice el mismo puerto y certificado para distintas instancias de servicio (independientes de la aplicación) implementadas en el mismo nodo. Al actualizar dos servicios diferentes que usan el mismo puerto en diferentes instancias de aplicación, se producirá un error de actualización. Para más información, consulte Actualización de varias aplicaciones con puntos de conexión HTTPS.

Para ver los próximos pasos, lea los siguientes artículos:

• Entender el modelo de aplicación
• Especificación de los recursos en un manifiesto de servicio
• Implementar una aplicación
• Procedimientos recomendados de seguridad de Azure Service Fabric