Перенос приложения на использование бессерверных подключений с Хранилище BLOB-объектов Azure

Статья
05/09/2023

Запросы приложений к службам Azure должны проходить проверку подлинности с помощью таких конфигураций, как ключи доступа к учетной записи или подключения без пароля. Тем не менее, по возможности следует приоритизировать подключения без пароля в приложениях. Традиционные методы проверки подлинности, использующие пароли или секретные ключи, создают риски безопасности и осложнения. Ознакомьтесь с бессерверными подключениями для центра служб Azure, чтобы узнать больше о преимуществах перехода на бессерверные подключения.

В следующем руководстве объясняется, как перенести существующее приложение для подключения с помощью бессерверных подключений. Эти же шаги миграции должны применяться к использованию ключей доступа, строка подключения или другого подхода на основе секретов.

Настройка ролей и пользователей для аутентификации локальной разработки

Если вы выполняете разработку локально, убедитесь, что учетная запись пользователя, через которую осуществляется доступ к данным BLOB-объектов, имеет правильные разрешения. Вам потребуется служба хранилища участник данных BLOB-объектов для чтения и записи данных BLOB-объектов. Чтобы назначить себе эту роль, вам потребуется назначить роль Администратор istrator для доступа пользователей или другую роль, включающую действие Microsoft.Authorization/roleAssignments/write. Роли Azure RBAC можно назначить пользователю с помощью портала Azure, Azure CLI или Azure PowerShell. Дополнительные сведения о доступных областях назначения ролей можно узнать на странице обзора области.

В этом сценарии вы назначите разрешения учетной записи пользователя, которая ограничена учетной записью хранения, чтобы обеспечить соблюдение принципа минимальных привилегий. В рамках этой практики пользователям предоставляются только минимальные необходимые разрешения, что позволяет создавать более защищенные рабочие среды.

В следующем примере будет назначена роль участника данных BLOB-объектов служба хранилища учетной записи пользователя, которая предоставляет доступ для чтения и записи к данным BLOB-объектов в вашей учетной записи хранения.

Важно!

В большинстве случаев для распространения назначения ролей в Azure потребуется минута или две, но в редких случаях может потребоваться до восьми минут. Если при первом запуске кода возникают ошибки аутентификации, подождите несколько минут и повторите попытку.

На портале Azure найдите свою учетную запись хранения, воспользовавшись основной панелью поиска или областью навигации слева.
На странице обзора учетной записи хранения выберите Контроль доступа (IAM) в меню слева.
На странице Контроль доступа (IAM) откройте вкладку Назначения ролей.
Выберите + Добавить в верхнем меню, а затем выберите Добавить назначение роли в появившемся раскрывающемся меню.
Используйте поле поиска, чтобы отфильтровать результаты для отображения нужной роли. В этом примере найдите участника данных BLOB-объектов хранилища и выберите соответствующий результат, а затем нажмите кнопку Далее.
В разделе Назначение доступа для выберите Пользователь, группа или субъект-служба и + Выбрать членов.
В диалоговом окне найдите имя пользователя Microsoft Entra (обычно ваш user@domain адрес электронной почты), а затем выберите в нижней части диалогового окна.
Нажмите кнопку Проверить и назначить, чтобы перейти на последнюю страницу, а затем еще раз Проверить и назначить, чтобы завершить процесс.

Чтобы назначить роль на уровне ресурсов с помощью Azure CLI, сначала необходимо получить идентификатор ресурса с помощью команды az storage account show. Вы можете отфильтровать выходные свойства с помощью параметра --query.

az storage account show --resource-group '<your-resource-group-name>' --name '<your-storage-account-name>' --query id

Скопируйте выходной Id из предыдущей команды. Затем можно назначить роли с помощью команды az role в Azure CLI.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Чтобы назначить роль на уровне ресурсов с помощью Azure PowerShell, сначала необходимо получить идентификатор ресурса с помощью Get-AzResource команды.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Скопируйте значение Id из выходных данных предыдущей команды. После этого можно назначить роли с помощью команды New-AzRoleAssignment в PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope <yourStorageAccountId>

Для локальной разработки убедитесь, что вы прошли проверку подлинности с той же учетной записью Microsoft Entra, которую вы назначили роли. Вы можете пройти проверку подлинности с помощью популярных средств разработки, таких как Azure CLI или Azure PowerShell. Средства разработки, с помощью которых можно пройти проверку подлинности на разных языках.

Войдите в Azure с помощью Azure CLI, выполнив следующую команду:

az login

Для работы с DefaultAzureCredential Visual Studio Code необходимо установить Azure CLI.

В главном меню Visual Studio Code выберите Терминал > Создать терминал.

Войдите в Azure с помощью Azure CLI, выполнив следующую команду:

az login

Войдите в Azure через PowerShell с помощью следующей команды:

Connect-AzAccount

Затем обновите код, чтобы использовать бессерверные подключения.

Чтобы использовать DefaultAzureCredential в приложении .NET, установите Azure.Identity пакет:
```
dotnet add package Azure.Identity
```
В верхней части файла добавьте следующий код:
```
using Azure.Identity;
```
Определите расположения в коде, создающие BlobServiceClient подключение к Хранилище BLOB-объектов Azure. Обновите свой код, чтобы он соответствовал следующему примеру:
```
DefaultAzureCredential credential = new();

BlobServiceClient blobServiceClient = new(
    new Uri($"https://{storageAccountName}.blob.core.windows.net"),
    credential);
```

Чтобы использовать DefaultAzureCredential в приложении Go, установите azidentity модуль:
```
go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
```
В верхней части файла добавьте следующий код:
```
import (
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
)
```
Определите расположения в кодеClient, создающие экземпляр для подключения к Хранилище BLOB-объектов Azure. Обновите свой код, чтобы он соответствовал следующему примеру:
```
cred, err := azidentity.NewDefaultAzureCredential(nil)
if err != nil {
    // handle error
}

serviceURL := fmt.Sprintf("https://%s.blob.core.windows.net", storageAccountName)
client, err := azblob.NewClient(serviceURL, cred, nil)
if err != nil {
    // handle error
}
```

Чтобы использовать DefaultAzureCredential в приложении Java, установите azure-identity пакет с помощью одного из следующих подходов:
1. Включите BOM-файл.
2. Включите прямую зависимость.
В верхней части файла добавьте следующий код:
```
import com.azure.identity.DefaultAzureCredentialBuilder;
```

Определите расположения в кодеBlobServiceClient, создающие объект для подключения к Хранилище BLOB-объектов Azure. Обновите свой код, чтобы он соответствовал следующему примеру:

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .build();
String endpoint = 
    String.format("https://%s.blob.core.windows.net", storageAccountName);

BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
    .endpoint(endpoint)
    .credential(credential)
    .buildClient();

Чтобы использовать DefaultAzureCredential в приложении Node.js, установите @azure/identity пакет:
```
npm install --save @azure/identity
```
В верхней части файла добавьте следующий код:
```
import { DefaultAzureCredential } from "@azure/identity";
```
Определите расположения в кодеBlobServiceClient, создающие объект для подключения к Хранилище BLOB-объектов Azure. Обновите свой код, чтобы он соответствовал следующему примеру:
```
const credential = new DefaultAzureCredential();

const blobServiceClient = new BlobServiceClient(
  `https://${storageAccountName}.blob.core.windows.net`,
  credential
);    
```

Чтобы использовать DefaultAzureCredential в приложении Python, установите azure-identity пакет:
```
pip install azure-identity
```
В верхней части файла добавьте следующий код:
```
from azure.identity import DefaultAzureCredential
```
Определите расположения в кодеBlobServiceClient, создающие объект для подключения к Хранилище BLOB-объектов Azure. Обновите свой код, чтобы он соответствовал следующему примеру:
```
credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
    account_url = "https://%s.blob.core.windows.net" % storage_account_name,
    credential = credential
)
```

Обязательно обновите имя учетной записи хранения в универсальном коде ресурса (URI) своего BlobServiceClient. Имя учетной записи хранения можно найти на странице обзора портал Azure.

Локальный запуск приложения

После внесения этих изменений кода запустите приложение локально. Новая конфигурация должна получить локальные учетные данные, например из Azure CLI, Visual Studio или IntelliJ. Роли, назначенные локальному пользователю разработки в Azure, позволяют приложению подключаться к службе Azure локально.

Настройка среды размещения Azure

После настройки приложения для использования без пароля подключений и локального запуска один и тот же код может пройти проверку подлинности в службах Azure после его развертывания в Azure. В следующих разделах объясняется, как настроить развернутое приложение для подключения к Хранилище BLOB-объектов Azure с помощью управляемого удостоверения.

Создание управляемого удостоверения

Управляемое удостоверение, назначаемое пользователем, можно создать с помощью портал Azure или Azure CLI. Приложение использует удостоверение для проверки подлинности в других службах.

Портал Azure
Azure CLI

В верхней части портал Azure найдите управляемые удостоверения. Выберите результат управляемых удостоверений.
Нажмите кнопку " + Создать " в верхней части страницы обзора управляемых удостоверений.
На вкладке "Основные сведения" введите следующие значения:
- Подписка: выберите нужную подписку.
- Группа ресурсов: выберите нужную группу ресурсов.
- Регион: выберите ближайший регион.
- Имя: введите распознаваемое имя удостоверения, например MigrationIdentity.
В нижней части страницы выберите Review + create (Проверить и создать).
После завершения проверки проверка нажмите кнопку "Создать". Azure создает новое удостоверение, назначаемое пользователем.

После создания ресурса выберите "Перейти к ресурсу ", чтобы просмотреть сведения об управляемом удостоверении.

Используйте команду az identity create для создания управляемого удостоверения, назначаемого пользователем:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Связывание управляемого удостоверения с веб-приложением

Необходимо настроить веб-приложение для использования созданного управляемого удостоверения. Назначьте удостоверение приложению с помощью портал Azure или Azure CLI.

Выполните следующие действия в портал Azure, чтобы связать удостоверение с приложением. Эти же действия применяются к следующим службам Azure:

Azure Spring Apps
Приложения-контейнеры Azure
Виртуальные машины Azure
Служба Azure Kubernetes

Перейдите на страницу обзора веб-приложения.
Выберите удостоверение в области навигации слева.
На странице "Удостоверение" перейдите на вкладку "Назначаемый пользователем".
Нажмите кнопку +Добавить, чтобы открыть всплывающее окно добавления управляемого удостоверения, назначаемого пользователем.
Выберите подписку, используемую ранее для создания удостоверения.
Найдите идентификатор migrationIdentity по имени и выберите его из результатов поиска.
Нажмите кнопку "Добавить ", чтобы связать удостоверение с приложением.

Используйте следующие команды Azure CLI, чтобы связать удостоверение с приложением:

Получите идентификатор управляемого удостоверения, созданного с помощью команды az identity show . Скопируйте выходное значение, которое будет использоваться на следующем шаге.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Управляемое удостоверение можно назначить экземпляру службы приложение Azure с помощью команды az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Управляемое удостоверение можно назначить экземпляру Azure Spring Apps с помощью команды az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Вы можете назначить управляемое удостоверение виртуальной машине с помощью команды az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Вы можете назначить управляемое удостоверение виртуальной машине с помощью команды az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Управляемое удостоверение можно назначить экземпляру Служба Azure Kubernetes (AKS) с помощью команды az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Вы можете использовать службу Подключение or для создания подключения между средой размещения вычислений Azure и целевой службой с помощью Azure CLI. Команды CLI службы Подключение or автоматически назначают соответствующую роль вашему удостоверению. Дополнительные сведения о соединителе сервисов и поддерживаемых сценариях см. на странице обзора.

Получите идентификатор клиента управляемого удостоверения, созданного с помощью az identity show команды. Скопируйте значения для использования в дальнейшем.
```
az identity show --name MigrationIdentity --resource-group <your-resource-group> --query clientId
```

Используйте соответствующую команду CLI, чтобы установить подключение к службе:

Если вы используете службу приложение Azure, используйте команду az webapp connection:

az webapp connection create storage-blob \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Если вы используете Azure Spring Apps, используйте команду az spring-cloud connection :

az spring-cloud connection create storage-blob \
    --resource-group <resource-group-name> \
    --service <service-instance-name> \
    --app <app-name> \
    --deployment <deployment-name> \
    --target-resource-group <target-resource-group> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Если вы используете приложения контейнеров Azure, используйте команду az containerapp connection :

az containerapp connection create storage-blob \
    --resource-group <resource-group-name> \
    --name <containerapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Назначение роли управляемому удостоверению

Ниже вам потребуется предоставить разрешения управляемому удостоверению, созданному для доступа к учетной записи хранения. Предоставьте разрешения, назначив роль управляемому удостоверению, как и у локального пользователя разработки.

Перейдите на страницу обзора учетной записи хранения и выберите Контроль доступа (IAM) в области навигации слева.
Выберите Добавить назначение ролей.
В поле поиска Роль выполните поиск по строке Участник данных BLOB-объектов хранилища. Это общая роль, используемая для управления операциями с данными для BLOB-объектов. Вы можете назначить любую роль, подходящую для вашего варианта использования. Выберите значение Участник данных BLOB-объектов хранилища в списке и нажмите кнопку Далее.
На экране Добавление назначения ролей для параметра Назначение доступа для выберите Управляемое удостоверение. Затем нажмите + Выбрать членов.
В всплывающем элементе найдите управляемое удостоверение, созданное по имени, и выберите его из результатов. Нажмите кнопку "Выбрать", чтобы закрыть всплывающее меню.
Нажмите кнопку Далее несколько раз, пока не сможете нажать кнопку Проверить и назначить, чтобы завершить назначение роли.

Чтобы назначить роль на уровне ресурсов с помощью Azure CLI, сначала необходимо получить идентификатор ресурса с помощью команды az storage account show. Вы можете отфильтровать выходные свойства с помощью параметра --query.

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Скопируйте выходной идентификатор из предыдущей команды. Затем можно назначить роли с помощью команды az role assignment в Azure CLI.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Обновление кода приложения

Необходимо настроить код приложения для поиска определенного управляемого удостоверения, созданного при развертывании в Azure. В некоторых сценариях явное задание управляемого удостоверения для приложения также предотвращает случайное обнаружение и использование других удостоверений среды.

На странице обзора управляемого удостоверения скопируйте значение идентификатора клиента в буфер обмена.
Примените следующие изменения, относящиеся к языку:
- .NET
- GO
- Java
- Node.js
- Python
DefaultAzureCredentialOptions Создайте объект и передайте его DefaultAzureCredentialв . Задайте для свойства ManagedIdentityClientId идентификатор клиента.
```
DefaultAzureCredential credential = new(
    new DefaultAzureCredentialOptions
    {
        ManagedIdentityClientId = managedIdentityClientId
    });
```
Задайте для переменной AZURE_CLIENT_ID среды идентификатор клиента управляемого удостоверения. DefaultAzureCredential считывает эту переменную среды.
Вызовите метод managedIdentityClientId. Передайте идентификатор клиента в него.
```
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .managedIdentityClientId(managedIdentityClientId)
    .build();
```
Создайте объект с его свойством DefaultAzureCredentialClientIdOptions managedIdentityClientId, заданным идентификатором клиента. Передайте этот объект конструктору DefaultAzureCredential .
```
const credential = new DefaultAzureCredential({
  managedIdentityClientId
});
```
DefaultAzureCredential Задайте для параметра managed_identity_client_id конструктора идентификатор клиента.
```
credential = DefaultAzureCredential(
    managed_identity_client_id = managed_identity_client_id
)
```
Повторно разверните код в Azure после внесения этого изменения в порядок применения обновлений конфигурации.

Тестирование приложения

После развертывания обновленного кода перейдите в размещенное приложение в браузере. Ваше приложение должно успешно подключиться к учетной записи хранения. Помните, что на распространение назначений ролей в среде Azure может потребоваться несколько минут. Теперь приложение настроено для запуска в локальной и в рабочей средах без необходимости управлять секретами в самом приложении.

Следующие шаги

Из этого учебника вы узнали, как выполнить переход приложения на подключение без пароля.

Дополнительные сведения о понятиях, описанных в этой статье, см. в следующих ресурсах:

Авторизация доступа к blob-объектам с помощью идентификатора Microsoft Entra
Дополнительные сведения о .NET Core см. в статье Get started with .NET in 10 minutes (Быстрое начало работы с .NET).