Zabezpečené připojení ke službám a databázím Azure ze služby Aplikace Azure Service
Vaše služba App Service se může muset připojit k jiným službám Azure, jako je databáze, úložiště nebo jiná aplikace. Tento přehled doporučuje různé metody pro připojení a kdy je použít.
Způsob připojení | Vhodné použití služby |
---|---|
Připojení pomocí identity aplikace | * Chcete se připojit k prostředku bez přítomnosti ověřeného uživatele nebo pomocí identity aplikace. * Nemusíte spravovat přihlašovací údaje, klíče ani tajné kódy nebo přihlašovací údaje nejsou pro vás ani přístupné. * Spravované identity můžete použít ke správě přihlašovacích údajů za vás. * Pro přístup k prostředku Azure se vyžaduje identita Microsoft Entra. Například služby, jako jsou Microsoft Graph nebo sady SDK pro správu Azure. |
Připojení jako ověřený uživatel | * Chcete získat přístup k prostředku a provést nějakou akci jako přihlášený uživatel. |
Připojení s využitím tajných kódů | * K předání tajných kódů do aplikace potřebujete proměnné prostředí. * Chcete se připojit ke službám mimo Azure, jako je GitHub, Twitter, Facebook nebo Google. * Podřízený prostředek nepodporuje ověřování Microsoft Entra. * Podřízený prostředek vyžaduje připojovací řetězec nebo klíč nebo tajný klíč určitého druhu. |
Připojení s využitím tajných kódů
Existují dva doporučené způsoby použití tajných kódů ve vaší aplikaci: použití tajných kódů uložených ve službě Azure Key Vault nebo tajných kódů v nastavení aplikace služby App Service.
Použití tajných kódů v nastavení aplikace
Některé aplikace přistupují k tajným kódům pomocí proměnných prostředí. Tradičně se nastavení aplikace služby App Service používalo k ukládání připojovací řetězec, klíčů rozhraní API a dalších proměnných prostředí. Tyto tajné kódy se vloží do kódu aplikace jako proměnné prostředí při spuštění aplikace. Nastavení aplikace se vždy šifrují při uložení (zašifrované neaktivní uložená data). Pokud chcete mít také zásady přístupu a historii auditování tajných kódů, zvažte jejich umístění do služby Azure Key Vault a použití odkazů služby Key Vault do nastavení aplikace.
Příklady použití tajných kódů aplikací pro připojení k databázi:
- ASP.NET Core s SQL DB
- ASP.NET s SQL DB
- PHP s databází MySQL
- Node.js s databází MongoDB
- Python s Postgresem
- Java s Spring Data
- Quarkus s Postgresem
Použití tajných kódů ze služby Key Vault
Azure Key Vault se dá použít k bezpečnému ukládání tajných kódů a klíčů, monitorování přístupu a používání tajných kódů a zjednodušení správy tajných kódů aplikací. Pokud podřízená služba vaší aplikace nepodporuje ověřování Microsoft Entra nebo vyžaduje připojovací řetězec nebo klíč, uložte tajné kódy pomocí služby Key Vault a připojte aplikaci ke službě Key Vault se spravovanou identitou a načtěte tajné kódy.
Mezi výhody spravovaných identit integrovaných se službou Key Vault patří:
- Přístup ke službě Key Vault je omezený na aplikaci.
- Přispěvatelé aplikací, jako jsou správci, můžou mít úplnou kontrolu nad prostředky služby App Service a současně nemají přístup k tajným kódům služby Key Vault.
- Pokud kód aplikace už přistupuje k tajným kódům připojení s nastavením aplikace, není potřeba měnit žádný kód.
- Key Vault poskytuje monitorování a auditování uživatelů, kteří přistupovali k tajným kódům.
- Obměně informací o připojení ve službě Key Vault nevyžaduje žádné změny ve službě App Service.
Následující obrázek ukazuje připojení služby App Service ke službě Key Vault pomocí spravované identity a následnému přístupu ke službě Azure pomocí tajných kódů uložených ve službě i Key Vault:
Připojení pomocí identity aplikace
V některých případech musí vaše aplikace přistupovat k datům pod identitou samotné aplikace nebo bez přihlášeného uživatele. Spravovaná identita z Microsoft Entra ID umožňuje službě App Service přístup k prostředkům prostřednictvím řízení přístupu na základě role (RBAC) bez vyžadování přihlašovacích údajů aplikace. Spravovaná identita se může připojit k libovolnému prostředku, který podporuje ověřování Microsoft Entra. Po přiřazení spravované identity k webové aplikaci se Azure postará o vytvoření a distribuci certifikátu. Nemusíte se starat o správu tajných kódů nebo přihlašovacích údajů aplikace.
Následující obrázek ukazuje následující službu App Service, která se připojuje k jiným službám Azure:
- A: Uživatel navštíví web služby Azure App Service.
- B: Bezpečně se připojte ze služby App Service k jiné službě Azure pomocí spravované identity.
- C: Bezpečně se připojte ze služby App Service k Microsoft Graphu pomocí spravované identity.
Připojení jako ověřený uživatel
V některých případech se vaše aplikace musí připojit k prostředku a provést nějakou akci, kterou může provést jenom přihlášený uživatel. Udělte aplikaci delegovaná oprávnění pro připojení k prostředkům pomocí identity přihlášeného uživatele.
Následující obrázek ukazuje aplikaci, která bezpečně přistupuje k databázi SQL jménem přihlášeného uživatele.
Mezi běžné scénáře patří:
- Připojení do Microsoft Graphu jako uživatel
- Připojení do databáze SQL jako uživatel
- Připojení do jiné aplikace App Service jako uživatel
- Připojení do jiné aplikace App Service a potom jako uživatel podřízenou službu.
Další kroky
Naučte se:
- Bezpečně ukládejte tajné kódy ve službě Azure Key Vault.
- Přístup k prostředkům pomocí spravované identity
- Ukládejte tajné kódy pomocí nastavení aplikace App Service.
- Připojení do Microsoft Graphu jako uživatele.
- Připojení k databázi SQL jako uživatel.
- Připojení do jiné aplikace App Service jako uživatel.
- Připojení do jiné aplikace App Service a potom jako uživatel podřízenou službu.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro