Перенос приложения на использование бессерверных подключений с Служебная шина Azure

Запросы приложений к Служебная шина Azure должны проходить проверку подлинности с помощью ключей доступа к учетной записи или без паролей. Тем не менее, по возможности следует приоритизировать подключения без пароля в приложениях. В этом учебнике рассматривается перенос с традиционных способов аутентификации на более безопасные подключения без пароля.

Риски безопасности, связанные с ключами доступа

В следующем примере кода показано, как подключиться к Служебная шина Azure с помощью строка подключения с ключом доступа. При создании служебная шина Azure автоматически создает эти ключи и строка подключения. Многие разработчики стремятся к этому решению, так как он чувствует себя знакомым с параметрами, с которыми они работали в прошлом. Если в настоящее время приложение использует строка подключения, рассмотрите возможность миграции на подключения без пароля, выполнив действия, описанные в этом документе.

.NET

await using ServiceBusClient client = new("<CONNECTION-STRING>");

GO

client, err := azservicebus.NewClientFromConnectionString(
    "<CONNECTION-STRING>",
    nil)

if err != nil {
    // handle error
}

Java

JMS:

ConnectionFactory factory = new ServiceBusJmsConnectionFactory(
    "<CONNECTION-STRING>",
    new ServiceBusJmsConnectionFactorySettings());

Клиент-получатель:

ServiceBusReceiverClient receiver = new ServiceBusClientBuilder()
    .connectionString("<CONNECTION-STRING>")
    .receiver()
    .topicName("<TOPIC-NAME>")
    .subscriptionName("<SUBSCRIPTION-NAME>")
    .buildClient();

Клиент отправителя:

ServiceBusSenderClient client = new ServiceBusClientBuilder()
    .connectionString("<CONNECTION-STRING>")
    .sender()
    .queueName("<QUEUE-NAME>")
    .buildClient();

Node.js

const client = new ServiceBusClient("<CONNECTION-STRING>");

Python

client = ServiceBusClient(
    fully_qualified_namespace = "<CONNECTION-STRING>"
)

строки Подключение ion следует использовать с осторожностью. Разработчики должны уделять внимание тому, чтобы не раскрыть ключи в незащищенном расположении. Все лица, получающие доступ к ключу, могут пройти аутентификацию. Например, если ключ учетной записи случайно помещается в систему управления версиями, отправляется через незащищенную электронную почту, вставляется в некорректный чат или просматривается пользователем без разрешений, возникает риск доступа к приложению злоумышленником. Вместо этого рекомендуется обновить приложение для использования подключений без пароля.

Переход на подключения без пароля

Многие службы Azure поддерживают бессерверные подключения с помощью идентификатора Microsoft Entra и управления доступом на основе ролей (RBAC). Эти методы предоставляют надежные функции безопасности и могут быть реализованы с помощью DefaultAzureCredential из клиентских библиотек удостоверений Azure.

Важно!

Некоторые языки должны явно реализовать DefaultAzureCredential в своем коде, а другие используют DefaultAzureCredential внутренне через базовые подключаемые модули или драйверы.

DefaultAzureCredential поддерживает несколько способов проверки подлинности и автоматически определяет, какой из них следует использовать в среде выполнения. Такой подход позволяет приложению использовать различные способы аутентификации в разных средах (локальная среда разработки и рабочая среда) без реализации кода для конкретной среды.

Порядок и расположения, в которых DefaultAzureCredential выполняет поиск учетных данных, можно найти в обзоре библиотеки удостоверений Azure (зависят от языка). Например, при локальной работе с .NET DefaultAzureCredential обычно выполняет проверку подлинности с помощью учетной записи разработчика, используемой для входа в Visual Studio, Azure CLI или Azure PowerShell. При развертывании приложения в Azure DefaultAzureCredential автоматически обнаруживает и использует управляемое удостоверение связанной службы размещения, например службу приложение Azure. Для такого перехода не требуется изменять код.

Примечание.

Управляемое удостоверение предоставляет удостоверение безопасности для представления приложения или службы. Удостоверения управляются платформой Azure, и для них не нужно подготавливать или изменять секреты. Дополнительные сведения об управляемых удостоверениях см. в обзорной документации.

В следующем примере кода показано, как подключиться к служебная шина с помощью бессерверных подключений. В следующем разделе описывается, как перейти на эту настройку для конкретной службы более подробно.

Приложение .NET может передать экземпляр DefaultAzureCredential в конструктор клиентского класса службы. DefaultAzureCredential будет автоматически обнаруживать учетные данные, доступные в такой среде.

ServiceBusClient serviceBusClient = new(
    new Uri($"https://{serviceBusNamespace}.blob.core.windows.net"),
    new DefaultAzureCredential());

Действия по переносу приложения для использования аутентификации без пароля

Ниже описано, как перенести существующее приложение на использование подключений без пароля вместо использования решения на основе ключей. Сначала вы настроите локальную среду разработки, а затем примените эти понятия к среде размещения приложений Azure. Эти же шаги миграции должны применяться напрямую с помощью ключей доступа или через строка подключения.

Настройка ролей и пользователей для аутентификации локальной разработки

При разработке локально убедитесь, что учетная запись пользователя, доступ к служебная шина имеет правильные разрешения. В этом примере вы будете использовать роль владельца данных Служебная шина Azure для отправки и получения данных, хотя и более детализированные роли также доступны. Чтобы назначить себе эту роль, вам потребуется назначить роль Администратор istrator для доступа пользователей или другую роль, включающую действие Microsoft.Authorization/roleAssignments/write. Роли Azure RBAC можно назначить пользователю с помощью портала Azure, Azure CLI или Azure PowerShell. Дополнительные сведения о доступных областях назначения ролей можно узнать на странице обзора области.

В этом сценарии вы назначите разрешения учетной записи пользователя, область заданному пространству имен служебная шина, чтобы следовать принципу наименьших привилегий. В рамках этой практики пользователям предоставляются только минимальные необходимые разрешения, что позволяет создавать более защищенные рабочие среды.

В следующем примере роль владельца данных Служебная шина Azure назначается учетной записи пользователя, что позволяет отправлять и получать данные.

Важно!

В большинстве случаев для распространения назначения ролей в Azure потребуется минута или две, но в редких случаях может потребоваться до восьми минут. Если при первом запуске кода возникают ошибки аутентификации, подождите несколько минут и повторите попытку.

Портал Azure

1. В портал Azure найдите пространство имен служебная шина с помощью основной панели поиска или навигации слева.

2. На странице обзора служебная шина выберите элемент управления доступом (IAM) в меню слева.

3. На странице Контроль доступа (IAM) откройте вкладку Назначения ролей.

4. Выберите + Добавить в верхнем меню, а затем выберите Добавить назначение роли в появившемся раскрывающемся меню.

   

5. Используйте поле поиска, чтобы отфильтровать результаты для отображения нужной роли. В этом примере найдите Служебная шина Azure владельца данных и выберите соответствующий результат, а затем нажмите кнопку "Далее".

6. В разделе Назначение доступа для выберите Пользователь, группа или субъект-служба и + Выбрать членов.

7. В диалоговом окне найдите имя пользователя Microsoft Entra (обычно ваш user@domain адрес электронной почты), а затем выберите в нижней части диалогового окна.

8. Нажмите кнопку Проверить и назначить, чтобы перейти на последнюю страницу, а затем еще раз Проверить и назначить, чтобы завершить процесс.

Azure CLI

Чтобы назначить роль на уровне ресурса с помощью Azure CLI, сначала необходимо получить идентификатор ресурса с помощью az servicesbus namespace show команды. Вы можете отфильтровать выходные свойства с помощью параметра --query.

az servicebus namespace show --resource-group '<your-resource-group-name>' --name '<your-service-bus-namespace>' --query id

Скопируйте выходной ID из предыдущей команды. Затем можно назначить роли с помощью команды az role в Azure CLI.

az role assignment create --assignee "<user@domain>" \
    --role "Azure Service Bus Data Owner" \
    --scope "<your-resource-id>"

PowerShell

Чтобы назначить роль на уровне ресурсов с помощью Azure PowerShell, сначала необходимо получить идентификатор ресурса с помощью Get-AzResource команды.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourServiceBusName>"

Скопируйте значение ID из выходных данных предыдущей команды. После этого можно назначить роли с помощью команды New-AzRoleAssignment в PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Azure Service Bus Data Owner" `
    -Scope <yourServiceBusId>

Вход и перенос кода приложения для использования подключений без пароля

Для локальной разработки убедитесь, что вы прошли проверку подлинности с той же учетной записью Microsoft Entra, которую вы назначили роли для пространства имен служебная шина. Аутентификацию можно выполнить с помощью Azure CLI, Visual Studio, Azure PowerShell или других средств, таких как IntelliJ.

Для локальной разработки убедитесь, что вы прошли проверку подлинности с той же учетной записью Microsoft Entra, которую вы назначили роли. Вы можете пройти проверку подлинности с помощью популярных средств разработки, таких как Azure CLI или Azure PowerShell. Средства разработки, с помощью которых можно пройти проверку подлинности на разных языках.

Azure CLI

Войдите в Azure с помощью Azure CLI, выполнив следующую команду:

az login

Visual Studio

Нажмите кнопку Войти в правом верхнем углу Visual Studio.

Войдите с помощью учетной записи Microsoft Entra, назначенной ранее роли.

Visual Studio Code

Для работы с DefaultAzureCredential Visual Studio Code необходимо установить Azure CLI.

В главном меню Visual Studio Code выберите Терминал > Создать терминал.

Войдите в Azure с помощью Azure CLI, выполнив следующую команду:

az login

PowerShell

Войдите в Azure через PowerShell с помощью следующей команды:

Connect-AzAccount

Затем обновите код, чтобы использовать бессерверные подключения.

.NET

1. Чтобы использовать DefaultAzureCredential в приложении .NET, установите Azure.Identity пакет:

   dotnet add package Azure.Identity
   

2. В верхней части файла добавьте следующий код:

   using Azure.Identity;
   

3. Определите код, создающий ServiceBusClient объект для подключения к Служебная шина Azure. Обновите свой код, чтобы он соответствовал следующему примеру:

    var serviceBusNamespace = $"https://{namespace}.servicebus.windows.net";
    ServiceBusClient client = new(
        serviceBusNamespace,
        new DefaultAzureCredential());
   

GO

1. Чтобы использовать DefaultAzureCredential в приложении Go, установите azidentity модуль:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. В верхней части файла добавьте следующий код:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Определите расположения в кодеClient, создающие экземпляр для подключения к Служебная шина Azure. Обновите свой код, чтобы он соответствовал следующему примеру:

   credential, err := azidentity.NewDefaultAzureCredential(nil)
   
   if err != nil {
       // handle error
   }
   
   serviceBusNamespace := fmt.Sprintf(
       "https://%s.servicebus.windows.net",
       namespace)
   client, err := azservicebus.NewClient(serviceBusNamespace, credential, nil)
   
   if err != nil {
       // handle error
   }
   

Java

1. Для использования DefaultAzureCredential выполните следующие действия:

   • В приложении JMS добавьте в приложение по крайней мере версию 1.0.0 azure-servicebus-jms пакета:

     <dependency>
         <groupId>com.microsoft.azure</groupId>
         <artifactId>azure-servicebus-jms</artifactId>
         <version>1.0.0</version>
     </dependency>
     

   • В приложении Java установите azure-identity пакет с помощью одного из следующих подходов:

     • Включите BOM-файл.
     • Включите прямую зависимость.

2. В верхней части файла добавьте следующий код:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Обновите код, который подключается к Служебная шина Azure:

   • В приложении JMS определите код, создающий ServiceBusJmsConnectionFactory объект для подключения к Служебная шина Azure. Обновите свой код, чтобы он соответствовал следующему примеру:

      DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
          .build();
      String serviceBusNamespace = 
          "https://" + namespace + ".servicebus.windows.net";
     
      ConnectionFactory factory = new ServiceBusJmsConnectionFactory(
          credential,
          serviceBusNamespace,
          new ServiceBusJmsConnectionFactorySettings());
     

   • В приложении Java определите код, который создает объект клиента служебная шина отправителя или получателя для подключения к Служебная шина Azure. Обновите код, чтобы он соответствовал одному из следующих примеров:

     Клиент-получатель:

     DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
         .build();
     String serviceBusNamespace = 
         "https://" + namespace + ".servicebus.windows.net";
     
     ServiceBusReceiverClient receiver = new ServiceBusClientBuilder()
         .credential(serviceBusNamespace, credential)
         .receiver()
         .topicName("<TOPIC-NAME>")
         .subscriptionName("<SUBSCRIPTION-NAME>")
         .buildClient();
     

     Клиент отправителя:

     DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
         .build();
     String serviceBusNamespace = 
         "https://" + namespace + ".servicebus.windows.net";
     
     ServiceBusSenderClient client = new ServiceBusClientBuilder()
         .credential(serviceBusNamespace, credential)
         .sender()
         .queueName("<QUEUE-NAME>")
         .buildClient();
     

Node.js

1. Чтобы использовать DefaultAzureCredential в приложении Node.js, установите @azure/identity пакет:

   npm install --save @azure/identity
   

2. В верхней части файла добавьте следующий код:

   const { DefaultAzureCredential } = require("@azure/identity");
   

3. Определите код, создающий ServiceBusClient объект для подключения к Служебная шина Azure. Обновите свой код, чтобы он соответствовал следующему примеру:

   const credential = new DefaultAzureCredential();
   const serviceBusNamespace = `https://${namespace}.servicebus.windows.net`;    
   
   const client = new ServiceBusClient(
     serviceBusNamespace,
     credential
   );
   

Python

1. Чтобы использовать DefaultAzureCredential в приложении Python, установите azure-identity пакет:

   pip install azure-identity
   

2. В верхней части файла добавьте следующий код:

   from azure.identity import DefaultAzureCredential
   

3. Определите код, создающий ServiceBusClient объект для подключения к Служебная шина Azure. Обновите свой код, чтобы он соответствовал следующему примеру:

   credential = DefaultAzureCredential()
   service_bus_namespace = "https://%s.servicebus.windows.net" % namespace
   
   client = ServiceBusClient(
       fully_qualified_namespace = service_bus_namespace,
       credential = credential
   )
   

Локальный запуск приложения

После внесения этих изменений кода запустите приложение локально. Новая конфигурация должна получить локальные учетные данные, например из Azure CLI, Visual Studio или IntelliJ. Роли, назначенные локальному пользователю разработки в Azure, позволят приложению подключаться к службе Azure локально.

Настройка среды размещения Azure

После настройки приложения для использования без пароля подключений и локального запуска один и тот же код может пройти проверку подлинности в службах Azure после его развертывания в Azure. Например, приложение, развернутое в экземпляре службы приложение Azure с включенным управляемым удостоверением, может подключаться к Служебная шина Azure.

Создание управляемого удостоверения с помощью портала Azure

Ниже показано, как создать управляемое удостоверение, назначаемое системой, для различных веб-служб размещения. Управляемое удостоверение может безопасно подключаться к другим службам Azure с помощью конфигураций приложений, настроенных ранее.

Подключение службы

Некоторые среды размещения приложений поддерживают соединитель сервисов, который помогает подключать службы вычислений Azure к другим вспомогательным службам. Соединитель сервисов автоматически настраивает параметры сети и сведения о подключении. Дополнительные сведения о соединителе сервисов и поддерживаемых сценариях см. на странице обзора.

В настоящее время поддерживаются следующие службы вычислений:

• Служба приложений Azure
• Azure Spring Cloud
• Приложения-контейнеры Azure (предварительная версия)

В этом руководстве по миграции вы будете использовать Служба приложений, но шаги похожи на Azure Spring Apps и приложения контейнеров Azure.

Примечание.

В настоящее время Azure Spring Apps поддерживает только соединитель сервисов с использованием строк подключения.

1. На главной странице обзора Службы приложений выберите Соединитель сервисов в области навигации слева.

2. Выберите + Создать в верхнем меню, после чего откроется панель Создание подключения. Введите следующие значения:

   • Тип службы: выбор служебной шины.
   • Подписка: выберите идентификатор подписки, которую вы хотите использовать.
   • имя Подключение ion: введите имя подключения, например connector_appservice_servicebus.
   • Тип клиента: оставьте значение по умолчанию или выберите определенный клиент.

   Выберите Далее: проверка подлинности.

3. Убедитесь, что выбран вариант Управляемое удостоверение, назначаемое системой (рекомендуется), а затем нажмите кнопку Далее: Сеть.

4. Оставьте выбранные значения по умолчанию и нажмите кнопку Далее: Просмотр и создание.

5. После проверки параметров Azure нажмите кнопку "Создать".

Соединитель сервисов автоматически создаст управляемое удостоверение, назначаемое системой, для службы приложений. Соединитель также назначит управляемое удостоверение Служебная шина Azure роль владельца данных для выбранной служебной шины.

Служба приложений Azure

1. На главной странице обзора экземпляра службы приложение Azure выберите Удостоверение в области навигации слева.

2. На вкладке Назначаемое системой убедитесь, что в поле Состояние выбрано значение Включено. Назначаемое системой удостоверение управляется Azure внутренним образом и обслуживает административные задачи. Сведения об удостоверении и его идентификаторы ни в коем случае не раскрываются в коде.

   

Azure Spring Apps

1. На главной странице обзора экземпляра Azure Spring Apps выберите Identity в области навигации слева.

2. На вкладке Назначаемое системой убедитесь, что в поле Состояние выбрано значение Включено. Назначаемое системой удостоверение управляется Azure внутренним образом и обслуживает административные задачи. Сведения об удостоверении и его идентификаторы ни в коем случае не раскрываются в коде.

   

Приложения контейнеров Azure

1. На главной странице обзора экземпляра azure Container Apps выберите identity (Удостоверение ) в области навигации слева.

2. На вкладке Назначаемое системой убедитесь, что в поле Состояние выбрано значение Включено. Назначаемое системой удостоверение управляется Azure внутренним образом и обслуживает административные задачи. Сведения об удостоверении и его идентификаторы ни в коем случае не раскрываются в коде.

   

Виртуальные машины Azure

1. На главной странице обзора виртуальной машины выберите удостоверение в области навигации слева.

2. На вкладке Назначаемое системой убедитесь, что в поле Состояние выбрано значение Включено. Назначаемое системой удостоверение управляется Azure внутренним образом и обслуживает административные задачи. Сведения об удостоверении и его идентификаторы ни в коем случае не раскрываются в коде.

   

Кроме того, можно включить управляемое удостоверение в среде размещения Azure с помощью Azure CLI.

Подключение службы

Вы можете использовать службу Подключение or для создания подключения между средой размещения вычислений Azure и целевой службой с помощью Azure CLI. Интерфейс командной строки автоматически создает управляемое удостоверение и назначает соответствующую роль, как описано в инструкциях для портала.

Если вы используете службу приложение Azure, используйте az webapp connection команду:

az webapp connection create servicebus \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Если вы используете Azure Spring Apps, используйте az spring connection команду:

az spring connection create servicebus \
    --resource-group <resource-group-name> \
    --service <service-instance-name> \
    --app <app-name> \
    --deployment <deployment-name> \
    --target-resource-group <target-resource-group> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Если вы используете приложения контейнеров Azure, используйте следующую az containerapp connection команду:

az containerapp connection create servicebus \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Служба приложений Azure

Управляемое удостоверение можно назначить экземпляру службы приложение Azure с помощью команды az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>

Azure Spring Apps

Управляемое удостоверение можно назначить экземпляру Azure Spring Apps с помощью команды az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>

Приложения контейнеров Azure

Управляемое удостоверение можно назначить экземпляру Azure Container Apps с помощью команды az container app identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>

Виртуальные машины Azure

Вы можете назначить управляемое удостоверение виртуальной машине с помощью команды az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

Служба Azure Kubernetes

Управляемое удостоверение можно назначить экземпляру Служба Azure Kubernetes (AKS) с помощью команды az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --enable-managed-identity

Назначение роли управляемому удостоверению

Затем необходимо предоставить разрешения управляемому удостоверению, созданному для доступа к служебная шина. Это можно сделать, назначив роль управляемому удостоверению (аналогично назначению роли для локального пользователя разработки).

Подключение службы

Если вы подключили службы с помощью Подключение службы, вам не нужно выполнить этот шаг. Нужные конфигурации уже были подготовлены для вас:

• Если вы выбрали управляемое удостоверение при создании подключения, для приложения было создано управляемое удостоверение, назначаемое системой, и назначено роль владельца данных Служебная шина Azure в служебная шина.

• Если вы выбрали строку подключения, она была добавлена в качестве переменной среды приложения.

Портал Azure

1. Перейдите на страницу обзора служебная шина и выберите контроль доступа (IAM) в области навигации слева.

2. Выберите Добавить назначение ролей.

   

3. В поле поиска ролей найдите Служебная шина Azure владельца данных, которая является общей ролью, используемой для управления операциями данных для больших двоичных объектов. Вы можете назначить любую роль, подходящую для вашего варианта использования. Выберите Служебная шина Azure владельца данных из списка и нажмите кнопку "Далее".

4. На экране Добавление назначения ролей для параметра Назначение доступа для выберите Управляемое удостоверение. Затем нажмите + Выбрать членов.

5. Во всплывающем элементе найдите управляемое удостоверение, созданное путем ввода имени службы приложений. Выберите назначаемое системой удостоверение и нажмите кнопку Выбрать, чтобы закрыть всплывающее меню.

   

6. Нажмите кнопку Далее несколько раз, пока не сможете нажать кнопку Проверить и назначить, чтобы завершить назначение роли.

Azure CLI

Чтобы назначить роль на уровне ресурса с помощью Azure CLI, сначала необходимо получить идентификатор ресурса с помощью az servicebus show команды. Вы можете отфильтровать выходные свойства с помощью параметра --query.

az servicebus show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-service-bus-namespace>' \
    --query id

Скопируйте выходной идентификатор из предыдущей команды. Затем можно назначить роли с помощью az role команды Azure CLI.

az role assignment create \
    --assignee "<your-username>" \
    --role "Azure Service Bus Data Owner" \
    --scope "<your-resource-id>"

Тестирование приложения

После внесения этих изменений в код перейдите в размещенное приложение в браузере. Приложение должно успешно подключиться к служебная шина. Помните, что на распространение назначений ролей в среде Azure может потребоваться несколько минут. Теперь приложение настроено для запуска в локальной и в рабочей средах без необходимости управлять секретами в самом приложении.

Следующие шаги

Из этого учебника вы узнали, как выполнить переход приложения на подключение без пароля.