使用受控識別連線到適用於 PostgreSQL 的 Azure 資料庫
適用於:適用於 PostgreSQL 的 Azure 資料庫 - 單一伺服器
重要
適用於 PostgreSQL 的 Azure 資料庫 - 單一伺服器位於淘汰路徑上。 強烈建議您升級至 適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器。 如需移轉至 適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器的詳細資訊,請參閱單一伺服器 適用於 PostgreSQL 的 Azure 資料庫 發生什麼事?。
您可以使用系統指派和使用者指派的受控識別,來向適用於 PostgreSQL 的 Azure 資料庫進行驗證。 本文說明如何使用系統指派的受控識別,讓 Azure 虛擬機 (VM) 存取 適用於 PostgreSQL 的 Azure 資料庫 伺服器。 Azure 會自動管理受控識別 ,讓您不需要將認證插入程式碼中即可驗證支援 Microsoft Entra 驗證的服務。
您將學習如何:
- 將 VM 存取權授與 適用於 PostgreSQL 的 Azure 資料庫 伺服器
- 在資料庫中建立代表 VM 系統指派身分識別的使用者
- 使用 VM 身分識別取得存取令牌,並用它來查詢 適用於 PostgreSQL 的 Azure 資料庫 伺服器
- 在 C# 範例應用程式中實作令牌擷取
必要條件
- 如果您不熟悉 Azure 資源的受控識別功能,請參閱此 概觀。 如果您沒有 Azure 帳戶, 請先註冊免費帳戶 ,再繼續進行。
- 若要執行必要的資源建立和角色管理,您的帳戶需要適當範圍(您的訂用帳戶或資源群組)的「擁有者」許可權。 如果您需要角色指派的協助,請參閱 指派 Azure 角色來管理 Azure 訂用帳戶資源的存取權。
- 您需要 Azure VM(例如執行 Ubuntu Linux),您想要用來使用受控識別存取資料庫
- 您需要已設定 Microsoft Entra 驗證的 適用於 PostgreSQL 的 Azure 資料庫 資料庫伺服器
- 若要遵循 C# 範例,請先完成如何使用 C 連線 指南#
為您的 VM 建立系統指派的受控識別
使用 az vm identity assign 搭配 identity assign
命令,將系統指派的身分識別啟用至現有的 VM:
az vm identity assign -g myResourceGroup -n myVm
擷取系統指派受控識別的應用程式標識碼,後續幾個步驟中將需要此標識碼:
# Get the client ID (application ID) of the system-assigned managed identity
az ad sp list --display-name vm-name --query [*].appId --out tsv
為您的受控識別建立PostgreSQL使用者
現在,以 Microsoft Entra 系統管理員使用者身分連線到 PostgreSQL 資料庫,然後執行下列 SQL 語句,並以您為系統指派的受控識別擷取的用戶端識別碼取代 CLIENT_ID
:
SET aad_validate_oids_in_tenant = off;
CREATE ROLE myuser WITH LOGIN PASSWORD 'CLIENT_ID' IN ROLE azure_ad_user;
使用使用者 myuser
名稱進行驗證時,受控識別現在具有存取權(以您選擇的名稱取代 )。
從 Azure 實體數據服務擷取存取令牌
您的應用程式現在可以從 Azure 實例元數據服務擷取存取令牌,並使用它向資料庫進行驗證。
此令牌擷取是透過向 HTTP 要求, http://169.254.169.254/metadata/identity/oauth2/token
並傳遞下列參數來完成:
api-version
=2018-02-01
resource
=https://ossrdbms-aad.database.windows.net
client_id
=CLIENT_ID
(您稍早擷取的)
您將傳回包含欄位的 access_token
JSON 結果 - 這個長文字值是受控識別存取權杖,您應該在連線到資料庫時使用作為密碼。
為了進行測試,您可以在殼層中執行下列命令。 請注意,您需要 curl
安裝、 jq
和 psql
用戶端。
# Retrieve the access token
export PGPASSWORD=`curl -s 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fossrdbms-aad.database.windows.net&client_id=CLIENT_ID' -H Metadata:true | jq -r .access_token`
# Connect to the database
psql -h SERVER --user USER@SERVER DBNAME
您現在已連線到您稍早設定的資料庫。
在 C 中使用受控識別 連線#
本節說明如何使用 VM 的使用者指派受控識別來取得存取令牌,並使用它來呼叫 適用於 PostgreSQL 的 Azure 資料庫。 適用於 PostgreSQL 的 Azure 資料庫 原生支援 Microsoft Entra 驗證,因此可以直接接受使用 Azure 資源的受控識別取得的存取令牌。 建立 PostgreSQL 的連線時,您會在 [密碼] 字段中傳遞存取令牌。
以下是使用存取令牌開啟 PostgreSQL 連線的 .NET 程式代碼範例。 此程式代碼必須在 VM 上執行,才能使用系統指派的受控識別,從 Microsoft Entra ID 取得存取令牌。 取代 HOST、USER、DATABASE 和 CLIENT_ID的值。
using System;
using System.Net;
using System.IO;
using System.Collections;
using System.Collections.Generic;
using System.Text.Json;
using System.Text.Json.Serialization;
using Npgsql;
using Azure.Identity;
namespace Driver
{
class Script
{
// Obtain connection string information from the portal for use in the following variables
private static string Host = "HOST";
private static string User = "USER";
private static string Database = "DATABASE";
static async Task Main(string[] args)
{
//
// Get an access token for PostgreSQL.
//
Console.Out.WriteLine("Getting access token from Azure AD...");
// Azure AD resource ID for Azure Database for PostgreSQL is https://ossrdbms-aad.database.windows.net/
string accessToken = null;
try
{
// Call managed identities for Azure resources endpoint.
var sqlServerTokenProvider = new DefaultAzureCredential();
accessToken = (await sqlServerTokenProvider.GetTokenAsync(
new Azure.Core.TokenRequestContext(scopes: new string[] { "https://ossrdbms-aad.database.windows.net/.default" }) { })).Token;
}
catch (Exception e)
{
Console.Out.WriteLine("{0} \n\n{1}", e.Message, e.InnerException != null ? e.InnerException.Message : "Acquire token failed");
System.Environment.Exit(1);
}
//
// Open a connection to the PostgreSQL server using the access token.
//
string connString =
String.Format(
"Server={0}; User Id={1}; Database={2}; Port={3}; Password={4}; SSLMode=Prefer",
Host,
User,
Database,
5432,
accessToken);
using (var conn = new NpgsqlConnection(connString))
{
Console.Out.WriteLine("Opening connection using access token...");
conn.Open();
using (var command = new NpgsqlCommand("SELECT version()", conn))
{
var reader = command.ExecuteReader();
while (reader.Read())
{
Console.WriteLine("\nConnected!\n\nPostgres version: {0}", reader.GetString(0));
}
}
}
}
}
}
執行時,此命令會提供如下的輸出:
Getting access token from Azure AD...
Opening connection using access token...
Connected!
Postgres version: PostgreSQL 11.11, compiled by Visual C++ build 1800, 64-bit