Migrera ett program för att använda lösenordslösa anslutningar med Azure Queue Storage

Programbegäranden till Azure-tjänster måste autentiseras med hjälp av konfigurationer som kontoåtkomstnycklar eller lösenordslösa anslutningar. Du bör dock prioritera lösenordslösa anslutningar i dina program när det är möjligt. Traditionella autentiseringsmetoder som använder lösenord eller hemliga nycklar skapar säkerhetsrisker och komplikationer. Gå till hubben för lösenordslösa anslutningar för Azure-tjänster för att lära dig mer om fördelarna med att flytta till lösenordslösa anslutningar.

I följande självstudie beskrivs hur du migrerar ett befintligt program för att ansluta med lösenordslösa anslutningar. Samma migreringssteg bör gälla oavsett om du använder åtkomstnycklar, anslutningssträng eller någon annan hemlighetsbaserad metod.

Konfigurera din lokala utvecklingsmiljö

Lösenordslösa anslutningar kan konfigureras för att fungera för både lokala och Azure-värdbaserade miljöer. I det här avsnittet använder du konfigurationer för att tillåta enskilda användare att autentisera till Azure Queue Storage för lokal utveckling.

Tilldela användarroller

När du utvecklar lokalt kontrollerar du att användarkontot som har åtkomst till Queue Storage har rätt behörigheter. Du behöver rollen Lagringsködatadeltagare för att läsa och skriva ködata. Om du vill tilldela dig själv den här rollen måste du tilldelas rollen Administratör för användaråtkomst eller en annan roll som innehåller åtgärden Microsoft.Authorization/roleAssignments/write . Du kan tilldela Azure RBAC-roller till en användare med hjälp av Azure-portalen, Azure CLI eller Azure PowerShell. Läs mer om tillgängliga omfång för rolltilldelningar på översiktssidan för omfång .

I följande exempel tilldelas rollen Lagringsködatadeltagare till ditt användarkonto. Den här rollen ger läs- och skrivåtkomst till ködata i ditt lagringskonto.

Azure-portalen

1. Leta upp ditt lagringskonto i Azure-portalen med hjälp av huvudsökfältet eller det vänstra navigeringsfältet.

2. På översiktssidan för lagringskontot väljer du Åtkomstkontroll (IAM) på den vänstra menyn.

3. På sidan Åtkomstkontroll (IAM) väljer du fliken Rolltilldelningar .

4. Välj + Lägg till på den översta menyn och sedan Lägg till rolltilldelning från den resulterande nedrullningsbara menyn.

   

5. Använd sökrutan för att filtrera resultatet till önskad roll. I det här exemplet söker du efter Storage Queue Data Contributor och väljer matchande resultat och väljer sedan Nästa.

6. Under Tilldela åtkomst till väljer du Användare, grupp eller tjänstens huvudnamn och sedan + Välj medlemmar.

7. I dialogrutan söker du efter ditt Microsoft Entra-användarnamn (vanligtvis din user@domain e-postadress) och väljer sedan Välj längst ned i dialogrutan.

8. Välj Granska + tilldela för att gå till den sista sidan och sedan Granska + tilldela igen för att slutföra processen.

Azure CLI

Om du vill tilldela en roll på resursnivå med hjälp av Azure CLI måste du först hämta resurs-ID:t med kommandot az storage account show . Du kan filtrera utdataegenskaperna med hjälp av parametern --query .

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Kopiera utdata Id från föregående kommando. Du kan sedan tilldela roller med kommandot az role för Azure CLI.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Queue Data Contributor" \
    --scope "<your-resource-id>"

PowerShell

Om du vill tilldela en roll på resursnivå med Hjälp av Azure PowerShell måste du först hämta resurs-ID:t med kommandot Get-AzResource .

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Kopiera värdet Id från föregående kommandoutdata. Du kan sedan tilldela roller med kommandot New-AzRoleAssignment i PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Queue Data Contributor" `
    -Scope <yourStorageAccountId>

Viktigt!

I de flesta fall tar det en minut eller två för rolltilldelningen att spridas i Azure, men i sällsynta fall kan det ta upp till åtta minuter. Om du får autentiseringsfel när du först kör koden väntar du en stund och försöker igen.

Logga in på Azure lokalt

För lokal utveckling kontrollerar du att du är autentiserad med samma Microsoft Entra-konto som du tilldelade rollen till. Du kan autentisera via populära utvecklingsverktyg, till exempel Azure CLI eller Azure PowerShell. De utvecklingsverktyg som du kan autentisera med varierar mellan olika språk.

Azure CLI

Logga in på Azure via Azure CLI med följande kommando:

az login

Visual Studio

Välj knappen Logga in längst upp till höger i Visual Studio.

Logga in med det Microsoft Entra-konto som du tilldelade en roll till tidigare.

Visual Studio Code

Du måste installera Azure CLI för att arbeta med DefaultAzureCredential via Visual Studio Code.

Gå till Terminal > Ny terminal på huvudmenyn i Visual Studio Code.

Logga in på Azure via Azure CLI med följande kommando:

az login

PowerShell

Logga in på Azure med hjälp av PowerShell via följande kommando:

Connect-AzAccount

Uppdatera programkoden för att använda lösenordslösa anslutningar

Azure Identity-klientbiblioteket för vart och ett av följande ekosystem tillhandahåller en DefaultAzureCredential klass som hanterar lösenordslös autentisering till Azure:

• .NET
• Kör
• Java
• Node.js
• Python

DefaultAzureCredential stöder flera autentiseringsmetoder. Vilken metod som ska användas bestäms vid körning. Med den här metoden kan din app använda olika autentiseringsmetoder i olika miljöer (lokalt jämfört med produktion) utan att implementera miljöspecifik kod. Se föregående länkar för den ordning och de platser där DefaultAzureCredential autentiseringsuppgifterna söks.

.NET

1. Om du vill använda DefaultAzureCredential i ett .NET-program installerar du Azure.Identity paketet:

   dotnet add package Azure.Identity
   

2. Lägg till följande kod överst i filen:

   using Azure.Identity;
   

3. Identifiera de platser i koden som skapar ett QueueClient objekt för att ansluta till Azure Queue Storage. Uppdatera koden så att den matchar följande exempel:

   DefaultAzureCredential credential = new();
   
   QueueClient queueClient = new(
        new Uri($"https://{storageAccountName}.queue.core.windows.net/{queueName}"),
        new DefaultAzureCredential());
   

Kör

1. Installera modulen för azidentity att använda DefaultAzureCredential i ett Go-program:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. Lägg till följande kod överst i filen:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Identifiera de platser i koden som skapar en QueueClient instans för att ansluta till Azure Queue Storage. Uppdatera koden så att den matchar följande exempel:

   cred, err := azidentity.NewDefaultAzureCredential(nil)
   if err != nil {
       // handle error
   }
   
   serviceURL := fmt.Sprintf("https://%s.queue.core.windows.net/", storageAccountName)
   client, err := azqueue.NewQueueClient(serviceURL, cred, nil)
   if err != nil {
       // handle error
   }
   

Java

1. Om du vill använda DefaultAzureCredential i ett Java-program installerar azure-identity du paketet via någon av följande metoder:

   1. Inkludera BOM-filen.
   2. Inkludera ett direkt beroende.

2. Lägg till följande kod överst i filen:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Identifiera de platser i koden som skapar ett QueueClient objekt för att ansluta till Azure Queue Storage. Uppdatera koden så att den matchar följande exempel:

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .build();
   String endpoint = 
       String.format("https://%s.queue.core.windows.net/", storageAccountName);
   
   QueueClient queueClient = new QueueClientBuilder()
       .endpoint(endpoint)
       .queueName(queueName)
       .credential(credential)
       .buildClient();
   

Node.js

1. Om du vill använda DefaultAzureCredential i ett Node.js-program installerar du @azure/identity paketet:

   npm install --save @azure/identity
   

2. Lägg till följande kod överst i filen:

   import { DefaultAzureCredential } from "@azure/identity";
   

3. Identifiera de platser i koden som skapar ett QueueClient objekt för att ansluta till Azure Queue Storage. Uppdatera koden så att den matchar följande exempel:

   const credential = new DefaultAzureCredential();
   
   const queueClient = new QueueClient(
     `https://${storageAccountName}.queue.core.windows.net/${queueName}`,
     credential
   );
   

Python

1. Om du vill använda DefaultAzureCredential i ett Python-program installerar du azure-identity paketet:

   pip install azure-identity
   

2. Lägg till följande kod överst i filen:

   from azure.identity import DefaultAzureCredential
   

3. Identifiera de platser i koden som skapar ett QueueClient objekt för att ansluta till Azure Queue Storage. Uppdatera koden så att den matchar följande exempel:

   credential = DefaultAzureCredential()
   
   queue_client = QueueClient(
       account_url = "https://%s.blob.core.windows.net" % storage_account_name,
       queue_name = queue_name,
       credential = credential
   )
   

4. Se till att uppdatera lagringskontots namn i objektets QueueClient URI. Du hittar namnet på lagringskontot på översiktssidan i Azure-portalen.

   

Köra appen lokalt

När du har gjort dessa kodändringar kör du programmet lokalt. Den nya konfigurationen bör hämta dina lokala autentiseringsuppgifter, till exempel Azure CLI, Visual Studio eller IntelliJ. Med de roller som du har tilldelat till din användare i Azure kan din app ansluta till Azure-tjänsten lokalt.

Konfigurera Azure-värdmiljön

När programmet har konfigurerats för att använda lösenordslösa anslutningar och körs lokalt kan samma kod autentisera till Azure-tjänster när den har distribuerats till Azure. I avsnitten nedan beskrivs hur du konfigurerar ett distribuerat program för att ansluta till Azure Queue Storage med hjälp av en hanterad identitet. Hanterade identiteter tillhandahåller en automatiskt hanterad identitet i Microsoft Entra-ID för program som ska användas vid anslutning till resurser som stöder Microsoft Entra-autentisering. Läs mer om hanterade identiteter:

• Översikt över lösenordslös
• Metodtips för hanterad identitet

Skapa den hanterade identiteten

Du kan skapa en användartilldelad hanterad identitet med hjälp av Azure-portalen eller Azure CLI. Ditt program använder identiteten för att autentisera till andra tjänster.

Azure-portalen

1. Överst i Azure-portalen söker du efter hanterade identiteter. Välj resultatet Hanterade identiteter .
2. Välj + Skapa överst på översiktssidan för hanterade identiteter .
3. På fliken Grundläggande anger du följande värden:
   • Prenumeration: Välj önskad prenumeration.
   • Resursgrupp: Välj önskad resursgrupp.
   • Region: Välj en region nära din plats.
   • Namn: Ange ett igenkännbart namn för din identitet, till exempel MigrationIdentity.
4. Välj Granska + skapa längst ned på sidan.
5. När verifieringen har slutförts väljer du Skapa. Azure skapar en ny användartilldelad identitet.

När resursen har skapats väljer du Gå till resurs för att visa information om den hanterade identiteten.

Azure CLI

Använd kommandot az identity create för att skapa en användartilldelad hanterad identitet:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Associera den hanterade identiteten med din webbapp

Du måste konfigurera webbappen så att den använder den hanterade identitet som du skapade. Tilldela identiteten till din app med hjälp av antingen Azure-portalen eller Azure CLI.

Azure-portalen

Slutför följande steg i Azure-portalen för att associera en identitet med din app. Samma steg gäller för följande Azure-tjänster:

• Azure Spring Apps
• Azure Container Apps
• Virtuella Azure-datorer
• Azure Kubernetes Service

1. Gå till översiktssidan för webbappen.

2. Välj Identitet i det vänstra navigeringsfältet.

3. På sidan Identitet växlar du till fliken Användartilldelad .

4. Välj + Lägg till för att öppna den utfällbara menyn Lägg till användartilldelad hanterad identitet .

5. Välj den prenumeration som du använde tidigare för att skapa identiteten.

6. Sök efter MigrationIdentity efter namn och välj den i sökresultaten.

7. Välj Lägg till för att associera identiteten med din app.

   

Azure CLI

Använd följande Azure CLI-kommandon för att associera en identitet med din app:

Hämta ID:t för den hanterade identitet som du skapade med kommandot az identity show . Kopiera utdatavärdet som ska användas i nästa steg.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

Du kan tilldela en hanterad identitet till en Azure App Service-instans med kommandot az webapp identity assign .

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Azure Spring Apps

Du kan tilldela en hanterad identitet till en Azure Spring Apps-instans med kommandot az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Azure Container Apps

Du kan tilldela en hanterad identitet till en virtuell dator med kommandot az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Azure Virtual Machines

Du kan tilldela en hanterad identitet till en virtuell dator med kommandot az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Azure Kubernetes Service

Du kan tilldela en hanterad identitet till en AkS-instans (Azure Kubernetes Service) med kommandot az aks update .

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Tjänst Anslut eller

Du kan använda Service Anslut or för att skapa en anslutning mellan en Azure Compute-värdmiljö och en måltjänst med hjälp av Azure CLI. Cli-kommandona för tjänst Anslut eller tilldelar automatiskt rätt roll till din identitet. Du kan läsa mer om Service Anslut or och vilka scenarier som stöds på översiktssidan.

1. Hämta klient-ID:t för den hanterade identitet som du skapade med kommandot az identity show . Kopiera värdet för senare användning.

   az identity show \
       --name MigrationIdentity \
       --resource-group <your-resource-group> \
       --query clientId
   

2. Använd lämpligt CLI-kommando för att upprätta tjänstanslutningen:

   Azure App Service

   Om du använder en Azure App Service använder du kommandot az webapp connection :

   az webapp connection create storage-queue \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Om du använder Azure Spring Apps använder du kommandot az spring-cloud connection :

   az spring-cloud connection create storage-queue \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Container Apps

   Om du använder Azure Container Apps använder du kommandot az containerapp connection :

   az containerapp connection create storage-queue \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Tilldela roller till den hanterade identiteten

Därefter måste du bevilja behörigheter till den hanterade identitet som du skapade för att få åtkomst till ditt lagringskonto. Bevilja behörigheter genom att tilldela en roll till den hanterade identiteten, precis som du gjorde med din lokala utvecklingsanvändare.

Azure-portalen

1. Gå till översiktssidan för ditt lagringskonto och välj Åtkomstkontroll (IAM) i det vänstra navigeringsfältet.

2. Välj Lägg till rolltilldelning

   

3. I sökrutan Roll söker du efter Storage Queue Data Contributor, som är en vanlig roll som används för att hantera dataåtgärder för köer. Du kan tilldela vilken roll som är lämplig för ditt användningsfall. Välj lagringsködatadeltagaren i listan och välj Nästa.

4. På skärmen Lägg till rolltilldelning går du till alternativet Tilldela åtkomst till och väljer Hanterad identitet. Välj sedan +Välj medlemmar.

5. I den utfällbara menyn söker du efter den hanterade identitet som du skapade med namn och väljer den i resultatet. Välj Välj för att stänga den utfällbara menyn.

   

6. Välj Nästa ett par gånger tills du kan välja Granska + tilldela för att slutföra rolltilldelningen.

Azure CLI

Om du vill tilldela en roll på resursnivå med hjälp av Azure CLI måste du först hämta resurs-ID:t med kommandot az storage account show. Du kan filtrera utdataegenskaperna med hjälp av parametern --query .

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Kopiera utdata-ID:t från föregående kommando. Du kan sedan tilldela roller med kommandot az role assignment i Azure CLI.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Queue Data Contributor" \
    --scope "<your-resource-id>"

Tjänst Anslut eller

Om du har anslutit dina tjänster med hjälp av Service Anslut eller behöver du inte slutföra det här steget. De nödvändiga rollkonfigurationerna hanterades åt dig när du körde CLI-kommandona för tjänsten Anslut eller.

Uppdatera programkoden

Du måste konfigurera programkoden för att söka efter den specifika hanterade identitet som du skapade när den distribuerades till Azure. I vissa scenarier förhindrar explicit inställning av den hanterade identiteten för appen även andra miljöidentiteter från att oavsiktligt identifieras och användas automatiskt.

1. På översiktssidan för hanterad identitet kopierar du klient-ID-värdet till Urklipp.

2. Tillämpa följande språkspecifika ändringar:

   .NET

   Skapa ett DefaultAzureCredentialOptions objekt och skicka det till DefaultAzureCredential. Ange egenskapen ManagedIdentityClientId till klient-ID:t.

   DefaultAzureCredential credential = new(
       new DefaultAzureCredentialOptions
       {
           ManagedIdentityClientId = managedIdentityClientId
       });
   

   Kör

   AZURE_CLIENT_ID Ange miljövariabeln till klient-ID för hanterad identitet. DefaultAzureCredential läser den här miljövariabeln.

   Java

   Anropa metoden managedIdentityClientId. Skicka klient-ID:t till det.

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .managedIdentityClientId(managedIdentityClientId)
       .build();
   

   Node.js

   Skapa ett DefaultAzureCredentialClientIdOptions objekt med egenskapen managedIdentityClientId inställt på klient-ID:t. Skicka objektet till DefaultAzureCredential konstruktorn.

   const credential = new DefaultAzureCredential({
     managedIdentityClientId
   });
   

   Python

   DefaultAzureCredential Ange konstruktorns managed_identity_client_id parameter till klient-ID:t.

   credential = DefaultAzureCredential(
       managed_identity_client_id = managed_identity_client_id
   )
   

3. Distribuera om koden till Azure när du har gjort den här ändringen för att konfigurationsuppdateringarna ska tillämpas.

Testa appen

När du har distribuerat den uppdaterade koden bläddrar du till ditt värdbaserade program i webbläsaren. Appen bör kunna ansluta till lagringskontot. Tänk på att det kan ta flera minuter innan rolltilldelningarna sprids via din Azure-miljö. Ditt program är nu konfigurerat att köras både lokalt och i en produktionsmiljö utan att utvecklarna behöver hantera hemligheter i själva programmet.

Nästa steg

I den här självstudien har du lärt dig hur du migrerar ett program till lösenordslösa anslutningar.

Du kan läsa följande resurser för att utforska begreppen som beskrivs i den här artikeln mer ingående:

• Auktorisera åtkomst till blobar med hjälp av Microsoft Entra-ID
• Mer information om .NET finns i Kom igång med .NET på 10 minuter.