Migrace aplikace pro použití bez hesel pomocí služby Azure Service Bus

Žádosti o aplikace do služby Azure Service Bus musí být ověřeny pomocí přístupových klíčů účtu nebo připojení bez hesla. Pokud je to však možné, měli byste upřednostnit připojení bez hesla ve vašich aplikacích. V tomto kurzu se dozvíte, jak migrovat z tradičních metod ověřování na bezpečnější připojení bez hesla.

Rizika zabezpečení spojená s přístupovými klíči

Následující příklad kódu ukazuje, jak se připojit ke službě Azure Service Bus pomocí připojovací řetězec, který obsahuje přístupový klíč. Když vytvoříte Service Bus, Azure tyto klíče vygeneruje a připojovací řetězec automaticky. Řada vývojářů se k tomuto řešení přikláněla, protože je obeznámená s možnostmi, se kterými v minulosti spolupracovali. Pokud vaše aplikace aktuálně používá připojovací řetězec, zvažte migraci na připojení bez hesla pomocí kroků popsaných v tomto dokumentu.

.NET

await using ServiceBusClient client = new("<CONNECTION-STRING>");

Přejít

client, err := azservicebus.NewClientFromConnectionString(
    "<CONNECTION-STRING>",
    nil)

if err != nil {
    // handle error
}

Java

JMS:

ConnectionFactory factory = new ServiceBusJmsConnectionFactory(
    "<CONNECTION-STRING>",
    new ServiceBusJmsConnectionFactorySettings());

Příjemce klient:

ServiceBusReceiverClient receiver = new ServiceBusClientBuilder()
    .connectionString("<CONNECTION-STRING>")
    .receiver()
    .topicName("<TOPIC-NAME>")
    .subscriptionName("<SUBSCRIPTION-NAME>")
    .buildClient();

Klient odesílatele:

ServiceBusSenderClient client = new ServiceBusClientBuilder()
    .connectionString("<CONNECTION-STRING>")
    .sender()
    .queueName("<QUEUE-NAME>")
    .buildClient();

Node.js

const client = new ServiceBusClient("<CONNECTION-STRING>");

Python

client = ServiceBusClient(
    fully_qualified_namespace = "<CONNECTION-STRING>"
)

Připojovací řetězce by se měly používat s opatrností. Vývojáři musí být usilovní, aby klíče nikdy nezpřístupnili v nezabezpečeném umístění. Každý, kdo získá přístup ke klíči, se může ověřit. Pokud je například klíč účtu omylem zkontrolován do správy zdrojového kódu, odeslán prostřednictvím nezabezpečeného e-mailu, vloženého do nesprávného chatu nebo zobrazení někým, kdo by neměl mít oprávnění, hrozí riziko, že uživatel se zlými úmysly přistupuje k aplikaci. Místo toho zvažte aktualizaci aplikace tak, aby používala připojení bez hesla.

Migrace na připojení bez hesla

Mnoho služeb Azure podporuje připojení bez hesla prostřednictvím Microsoft Entra ID a řízení přístupu na základě role (RBAC). Tyto techniky poskytují robustní funkce zabezpečení a je možné je implementovat pomocí DefaultAzureCredential klientských knihoven azure Identity.

Důležité

Některé jazyky musí v kódu implementovat DefaultAzureCredential explicitně, zatímco jiné využívají DefaultAzureCredential interně prostřednictvím podkladových modulů plug-in nebo ovladačů.

DefaultAzureCredential podporuje více metod ověřování a automaticky určuje, které metody by se měly používat za běhu. Tento přístup umožňuje vaší aplikaci používat různé metody ověřování v různých prostředích (místní vývoj a produkční prostředí) bez implementace kódu specifického pro prostředí.

Pořadí a umístění, ve kterých DefaultAzureCredential se hledají přihlašovací údaje, najdete v přehledu knihovny identit Azure a liší se mezi jazyky. Pokud například pracujete místně s .NET, bude se obecně ověřovat pomocí účtu, DefaultAzureCredential který vývojář použil k přihlášení k sadě Visual Studio, Azure CLI nebo Azure PowerShellu. Když se aplikace nasadí do Azure, DefaultAzureCredential automaticky zjistí a použije spravovanou identitu přidružené hostitelské služby, například Aplikace Azure Service. Pro tento přechod nejsou vyžadovány žádné změny kódu.

Poznámka:

Spravovaná identita poskytuje identitu zabezpečení, která představuje aplikaci nebo službu. Identitu spravuje platforma Azure a nevyžaduje, abyste zřizovali nebo rotovali tajné kódy. Další informace o spravovaných identitách najdete v přehledové dokumentaci.

Následující příklad kódu ukazuje, jak se připojit ke službě Service Bus pomocí připojení bez hesla. Další část popisuje, jak migrovat na toto nastavení pro konkrétní službu podrobněji.

Aplikace .NET může předat instanci DefaultAzureCredential do konstruktoru třídy klienta služby. DefaultAzureCredential automaticky zjistí přihlašovací údaje, které jsou v daném prostředí k dispozici.

client = new ServiceBusClient(
    "<NAMESPACE-NAME>.servicebus.windows.net",
    new DefaultAzureCredential());

Postup migrace aplikace pro použití ověřování bez hesla

Následující postup vysvětluje, jak migrovat existující aplikaci, aby místo řešení založeného na klíči používala připojení bez hesla. Nejprve nakonfigurujete místní vývojové prostředí a pak tyto koncepty použijete v hostitelském prostředí aplikace Azure. Stejný postup migrace by se měl použít bez ohledu na to, jestli používáte přístupové klíče přímo nebo prostřednictvím připojovací řetězec.

Konfigurace rolí a uživatelů pro místní ověřování vývoje

Při místním vývoji se ujistěte, že uživatelský účet, který přistupuje ke službě Service Bus, má správná oprávnění. V tomto příkladu použijete roli Vlastník dat služby Azure Service Bus k odesílání a příjmu dat, i když jsou k dispozici i podrobnější role. Abyste mohli tuto roli přiřadit sami sobě, musíte mít přiřazenou roli Správce uživatelských přístupů nebo jinou roli, která zahrnuje akci Microsoft.Authorization/roleAssignments/write . Role Azure RBAC můžete uživateli přiřadit pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu. Další informace o dostupných oborech pro přiřazení rolí najdete na stránce přehledu oboru.

V tomto scénáři přiřadíte oprávnění k vašemu uživatelskému účtu omezenému na konkrétní obor názvů služby Service Bus, abyste mohli postupovat podle principu nejnižšího oprávnění. Tento postup poskytuje uživatelům jenom minimální potřebná oprávnění a vytváří bezpečnější produkční prostředí.

Následující příklad přiřadí roli Vlastník dat služby Azure Service Bus k vašemu uživatelskému účtu, což vám umožní odesílat a přijímat data.

Důležité

Ve většině případů bude trvat minutu nebo dvě, než se přiřazení role rozšíří v Azure, ale ve výjimečných případech může trvat až osm minut. Pokud při prvním spuštění kódu dojde k chybám ověřování, chvíli počkejte a zkuste to znovu.

Azure Portal

1. Na webu Azure Portal najděte obor názvů služby Service Bus pomocí hlavního vyhledávacího panelu nebo levé navigace.

2. Na stránce přehledu služby Service Bus vyberte v nabídce vlevo řízení přístupu (IAM ).

3. Na stránce Řízení přístupu (IAM) vyberte kartu Přiřazení rolí.

4. V horní nabídce vyberte + Přidat a potom přidejte přiřazení role z výsledné rozevírací nabídky.

   

5. Pomocí vyhledávacího pole vyfiltrujte výsledky podle požadované role. V tomto příkladu vyhledejte vlastníka dat služby Azure Service Bus a vyberte odpovídající výsledek a pak zvolte Další.

6. V části Přiřadit přístup vyberte Uživatel, skupina nebo instanční objekt a pak zvolte + Vybrat členy.

7. V dialogovém okně vyhledejte své uživatelské jméno Microsoft Entra (obvykle vaše user@domain e-mailová adresa) a pak v dolní části dialogového okna zvolte Vybrat .

8. Vyberte Zkontrolovat a přiřadit přejděte na poslední stránku a pak proces dokončete opětovnou kontrolou a přiřazením .

Azure CLI

Pokud chcete přiřadit roli na úrovni prostředku pomocí Azure CLI, musíte nejprve pomocí příkazu načíst ID az servicesbus namespace show prostředku. Výstupní vlastnosti můžete filtrovat pomocí parametru --query .

az servicebus namespace show --resource-group '<your-resource-group-name>' --name '<your-service-bus-namespace>' --query id

Zkopírujte výstup ID z předchozího příkazu. Role pak můžete přiřadit příkazem az role v Azure CLI.

az role assignment create --assignee "<user@domain>" \
    --role "Azure Service Bus Data Owner" \
    --scope "<your-resource-id>"

PowerShell

Pokud chcete přiřadit roli na úrovni prostředku pomocí Azure PowerShellu, musíte nejprve pomocí příkazu načíst ID Get-AzResource prostředku.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourServiceBusName>"

ID Zkopírujte hodnotu z předchozího výstupu příkazu. Role pak můžete přiřadit pomocí příkazu New-AzRoleAssignment v PowerShellu.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Azure Service Bus Data Owner" `
    -Scope <yourServiceBusId>

Přihlášení a migrace kódu aplikace pro použití připojení bez hesla

V případě místního vývoje se ujistěte, že jste ověřeni pomocí stejného účtu Microsoft Entra, ke kterému jste přiřadili roli pro obor názvů služby Service Bus. Ověřování můžete provést prostřednictvím Azure CLI, sady Visual Studio, Azure PowerShellu nebo jiných nástrojů, jako je IntelliJ.

V případě místního vývoje se ujistěte, že jste ověřeni pomocí stejného účtu Microsoft Entra, ke kterému jste přiřadili roli. Ověřování můžete provést prostřednictvím oblíbených vývojových nástrojů, jako je Azure CLI nebo Azure PowerShell. Vývojové nástroje, pomocí kterých se můžete ověřovat, se liší v různých jazycích.

Azure CLI

Přihlaste se k Azure přes Azure CLI pomocí následujícího příkazu:

az login

Visual Studio

V pravém horním rohu sady Visual Studio vyberte tlačítko Přihlásit se.

Přihlaste se pomocí účtu Microsoft Entra, kterému jste přiřadili roli dříve.

Visual Studio Code

Abyste mohli pracovat pomocí DefaultAzureCredential editoru Visual Studio Code, budete muset nainstalovat Azure CLI.

V hlavní nabídce editoru Visual Studio Code přejděte do terminálu > Nový terminál.

Přihlaste se k Azure přes Azure CLI pomocí následujícího příkazu:

az login

PowerShell

Přihlaste se k Azure pomocí PowerShellu pomocí následujícího příkazu:

Connect-AzAccount

Dále aktualizujte kód tak, aby používal připojení bez hesla.

.NET

1. Pokud chcete použít DefaultAzureCredential v aplikaci .NET, nainstalujte Azure.Identity balíček:

   dotnet add package Azure.Identity
   

2. Do horní části souboru přidejte následující kód:

   using Azure.Identity;
   

3. Identifikujte kód, který vytvoří objekt pro připojení ke službě ServiceBusClient Azure Service Bus. Aktualizujte kód tak, aby odpovídal následujícímu příkladu:

    var serviceBusNamespace = $"{namespace}.servicebus.windows.net";
    ServiceBusClient client = new(
        serviceBusNamespace,
        new DefaultAzureCredential());
   

Přejít

1. Pokud chcete použít DefaultAzureCredential v aplikaci Go, nainstalujte azidentity modul:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. Do horní části souboru přidejte následující kód:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Identifikujte umístění v kódu, která vytvoří Client instanci pro připojení ke službě Azure Service Bus. Aktualizujte kód tak, aby odpovídal následujícímu příkladu:

   credential, err := azidentity.NewDefaultAzureCredential(nil)
   
   if err != nil {
       // handle error
   }
   
   serviceBusNamespace := fmt.Sprintf(
       "%s.servicebus.windows.net",
       namespace)
   client, err := azservicebus.NewClient(serviceBusNamespace, credential, nil)
   
   if err != nil {
       // handle error
   }
   

Java

1. Postup použití nástroje DefaultAzureCredential:

   • V aplikaci JMS přidejte do aplikace alespoň verzi 1.0.0 azure-servicebus-jms balíčku:

     <dependency>
         <groupId>com.microsoft.azure</groupId>
         <artifactId>azure-servicebus-jms</artifactId>
         <version>1.0.0</version>
     </dependency>
     

   • V aplikaci v Javě nainstalujte azure-identity balíček jedním z následujících přístupů:

     • Zahrňte soubor kusovníku.
     • Zahrnout přímou závislost.

2. Do horní části souboru přidejte následující kód:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Aktualizujte kód, který se připojuje ke službě Azure Service Bus:

   • V aplikaci JMS identifikujte kód, který vytvoří ServiceBusJmsConnectionFactory objekt pro připojení ke službě Azure Service Bus. Aktualizujte kód tak, aby odpovídal následujícímu příkladu:

      DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
          .build();
      String serviceBusNamespace = 
          namespace + ".servicebus.windows.net";
     
      ConnectionFactory factory = new ServiceBusJmsConnectionFactory(
          credential,
          serviceBusNamespace,
          new ServiceBusJmsConnectionFactorySettings());
     

   • V aplikaci v Javě identifikujte kód, který vytvoří objekt klienta service Bus nebo odesílatele služby Service Bus pro připojení ke službě Azure Service Bus. Aktualizujte kód tak, aby odpovídal jednomu z následujících příkladů:

     Příjemce klient:

     DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
         .build();
     String serviceBusNamespace = 
         namespace + ".servicebus.windows.net";
     
     ServiceBusReceiverClient receiver = new ServiceBusClientBuilder()
         .credential(serviceBusNamespace, credential)
         .receiver()
         .topicName("<TOPIC-NAME>")
         .subscriptionName("<SUBSCRIPTION-NAME>")
         .buildClient();
     

     Klient odesílatele:

     DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
         .build();
     String serviceBusNamespace = 
         namespace + ".servicebus.windows.net";
     
     ServiceBusSenderClient client = new ServiceBusClientBuilder()
         .credential(serviceBusNamespace, credential)
         .sender()
         .queueName("<QUEUE-NAME>")
         .buildClient();
     

Node.js

1. Pokud chcete použít DefaultAzureCredential v aplikaci Node.js, nainstalujte @azure/identity balíček:

   npm install --save @azure/identity
   

2. Do horní části souboru přidejte následující kód:

   const { DefaultAzureCredential } = require("@azure/identity");
   

3. Identifikujte kód, který vytvoří objekt pro připojení ke službě ServiceBusClient Azure Service Bus. Aktualizujte kód tak, aby odpovídal následujícímu příkladu:

   const credential = new DefaultAzureCredential();
   const serviceBusNamespace = `${namespace}.servicebus.windows.net`;    
   
   const client = new ServiceBusClient(
     serviceBusNamespace,
     credential
   );
   

Python

1. Pokud chcete balíček použít DefaultAzureCredential v aplikaci v Pythonu, nainstalujte balíček azure-identity :

   pip install azure-identity
   

2. Do horní části souboru přidejte následující kód:

   from azure.identity import DefaultAzureCredential
   

3. Identifikujte kód, který vytvoří objekt pro připojení ke službě ServiceBusClient Azure Service Bus. Aktualizujte kód tak, aby odpovídal následujícímu příkladu:

   credential = DefaultAzureCredential()
   service_bus_namespace = "%s.servicebus.windows.net" % namespace
   
   client = ServiceBusClient(
       fully_qualified_namespace = service_bus_namespace,
       credential = credential
   )
   

Místní spuštění aplikace

Po provedení těchto změn kódu spusťte aplikaci místně. Nová konfigurace by měla vyzvednout vaše místní přihlašovací údaje, jako je Azure CLI, Visual Studio nebo IntelliJ. Role, které jste přiřadili místnímu vývojovému uživateli v Azure, umožní vaší aplikaci připojit se ke službě Azure místně.

Konfigurace hostitelského prostředí Azure

Jakmile je vaše aplikace nakonfigurovaná tak, aby používala připojení bez hesla a běží místně, může se stejný kód po nasazení do Azure ověřit ve službách Azure. Aplikace nasazená například do instance služby Aplikace Azure, která má povolenou spravovanou identitu, se může připojit ke službě Azure Service Bus.

Vytvoření spravované identity pomocí webu Azure Portal

Následující kroky ukazují, jak vytvořit spravovanou identitu přiřazenou systémem pro různé služby hostování webů. Spravovaná identita se může bezpečně připojit k jiným službám Azure pomocí konfigurací aplikací, které jste nastavili dříve.

Service Connector

Některá prostředí pro hostování aplikací podporují konektor služby Service Connector, který vám pomůže propojit výpočetní služby Azure s jinými backingovými službami. Service Connector automaticky konfiguruje nastavení sítě a informace o připojení. Další informace o konektoru služby a o podporovaných scénářích najdete na stránce přehledu.

V současné době se podporují následující výpočetní služby:

• Azure App Service
• Azure Spring Cloud
• Azure Container Apps (Preview)

V tomto průvodci migrací použijete App Service, ale postup je podobný pro Azure Spring Apps a Azure Container Apps.

Poznámka:

Azure Spring Apps v současné době podporuje pouze konektor Service Connector s využitím připojovací řetězec.

1. Na hlavní stránce přehledu služby App Service vyberte v levém navigačním panelu konektor služby.

2. V horní nabídce vyberte + Vytvořit a otevře se panel Vytvořit připojení . Zadejte následující hodnoty:

   • Typ služby: Zvolte Service Bus.
   • Předplatné: Vyberte předplatné, které chcete použít.
   • Název připojení: Zadejte název připojení, například connector_appservice_servicebus.
   • Typ klienta: Ponechte vybranou výchozí hodnotu nebo zvolte konkrétního klienta, který chcete použít.

   Vyberte Další: Ověřování.

3. Ujistěte se, že je vybraná spravovaná identita přiřazená systémem (doporučeno) a pak zvolte Další: Sítě.

4. Ponechte vybrané výchozí hodnoty a pak zvolte Další: Zkontrolovat a vytvořit.

5. Jakmile Azure ověří nastavení, vyberte Vytvořit.

Konektor služby automaticky vytvoří spravovanou identitu přiřazenou systémem pro službu App Service. Konektor také přiřadí spravovanou identitu roli vlastníka dat služby Azure Service Bus pro vybranou službu Service Bus.

Azure App Service

1. Na hlavní stránce přehledu vaší instance služby Aplikace Azure vyberte v levém navigačním panelu identitu.

2. Na kartě Přiřazený systém nezapomeňte nastavit pole Stav na zapnuto. Identitu přiřazenou systémem spravuje Azure interně a zpracovává úlohy správy za vás. Podrobnosti a ID identity se ve vašem kódu nikdy nezpřístupní.

   

Azure Spring Apps

1. Na hlavní stránce přehledu vaší instance Azure Spring Apps vyberte v levém navigačním panelu identitu .

2. Na kartě Přiřazený systém nezapomeňte nastavit pole Stav na zapnuto. Identitu přiřazenou systémem spravuje Azure interně a zpracovává úlohy správy za vás. Podrobnosti a ID identity se ve vašem kódu nikdy nezpřístupní.

   

Azure Container Apps

1. Na hlavní stránce přehledu vaší instance Azure Container Apps vyberte v levém navigačním panelu identitu .

2. Na kartě Přiřazený systém nezapomeňte nastavit pole Stav na zapnuto. Identitu přiřazenou systémem spravuje Azure interně a zpracovává úlohy správy za vás. Podrobnosti a ID identity se ve vašem kódu nikdy nezpřístupní.

   

Azure Virtual Machines

1. Na hlavní stránce přehledu vašeho virtuálního počítače vyberte v levém navigačním panelu identitu .

2. Na kartě Přiřazený systém nezapomeňte nastavit pole Stav na zapnuto. Identitu přiřazenou systémem spravuje Azure interně a zpracovává úlohy správy za vás. Podrobnosti a ID identity se ve vašem kódu nikdy nezpřístupní.

   

Případně můžete povolit spravovanou identitu také v hostitelském prostředí Azure pomocí Azure CLI.

Service Connector

Konektor služby můžete použít k vytvoření připojení mezi výpočetním prostředím Azure a cílovou službou pomocí Azure CLI. Rozhraní příkazového řádku automaticky zpracovává vytvoření spravované identity a přiřadí správnou roli, jak je vysvětleno v pokynech na portálu.

Pokud používáte službu Aplikace Azure, použijte příkazaz webapp connection:

az webapp connection create servicebus \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Pokud používáte Azure Spring Apps, použijte tento az spring connection příkaz:

az spring connection create servicebus \
    --resource-group <resource-group-name> \
    --service <service-instance-name> \
    --app <app-name> \
    --deployment <deployment-name> \
    --target-resource-group <target-resource-group> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Pokud používáte Azure Container Apps, použijte tento az containerapp connection příkaz:

az containerapp connection create servicebus \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Azure App Service

Spravovanou identitu můžete přiřadit instanci služby Aplikace Azure pomocí příkazu az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>

Azure Spring Apps

Spravovanou identitu můžete přiřadit instanci Azure Spring Apps pomocí příkazu az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>

Azure Container Apps

Spravovanou identitu můžete přiřadit instanci Azure Container Apps pomocí příkazu az container app identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>

Azure Virtual Machines

Spravovanou identitu můžete přiřadit k virtuálnímu počítači pomocí příkazu az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

Azure Kubernetes Service

Spravovanou identitu můžete přiřadit k instanci služby Azure Kubernetes Service (AKS) pomocí příkazu az aks update .

az aks update \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --enable-managed-identity

Přiřazení rolí ke spravované identitě

Dále musíte udělit oprávnění spravované identitě, kterou jste vytvořili pro přístup ke službě Service Bus. Můžete to provést přiřazením role spravované identitě stejně jako u místního vývojového uživatele.

Service Connector

Pokud jste služby připojili pomocí konektoru služeb, nemusíte tento krok dokončit. Potřebné konfigurace byly zpracovány za vás:

• Pokud jste při vytváření připojení vybrali spravovanou identitu přiřazenou systémem, vytvořila se pro vaši aplikaci spravovaná identita a přiřadila roli Vlastník dat služby Azure Service Bus ve službě Service Bus.

• Pokud jste vybrali připojovací řetězec, připojovací řetězec se přidala jako proměnná prostředí aplikace.

Azure Portal

1. Přejděte na stránku přehledu služby Service Bus a v levém navigačním panelu vyberte Řízení přístupu (IAM ).

2. Zvolte Přidat přiřazení role.

   

3. Ve vyhledávacím poli role vyhledejte vlastníka dat služby Azure Service Bus, což je běžná role sloužící ke správě operací s daty pro objekty blob. Můžete přiřadit libovolnou roli, která je vhodná pro váš případ použití. V seznamu vyberte vlastníka dat služby Azure Service Bus a zvolte Další.

4. Na obrazovce Přidat přiřazení role jako možnost Přiřadit přístup vyberte Spravovaná identita. Pak zvolte +Vybrat členy.

5. V informačním rámečku vyhledejte spravovanou identitu, kterou jste vytvořili, zadáním názvu vaší služby App Service. Vyberte identitu přiřazenou systémem a pak výběrem možnosti Vybrat zavřete kontextovou nabídku.

   

6. Vyberte Další několikrát, dokud nebudete moct vybrat Zkontrolovat a přiřadit, abyste dokončili přiřazení role.

Azure CLI

Pokud chcete přiřadit roli na úrovni prostředku pomocí Azure CLI, musíte nejprve pomocí příkazu načíst ID az servicebus show prostředku. Výstupní vlastnosti můžete filtrovat pomocí parametru --query .

az servicebus show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-service-bus-namespace>' \
    --query id

Zkopírujte ID výstupu z předchozího příkazu. Role pak můžete přiřadit pomocí az role příkazu Azure CLI.

az role assignment create \
    --assignee "<your-username>" \
    --role "Azure Service Bus Data Owner" \
    --scope "<your-resource-id>"

Otestování aplikace

Po provedení těchto změn kódu přejděte v prohlížeči do hostované aplikace. Vaše aplikace by se měla úspěšně připojit ke službě Service Bus. Mějte na paměti, že rozšíření přiřazení rolí v prostředí Azure může trvat několik minut. Vaše aplikace je teď nakonfigurovaná tak, aby běžela místně i v produkčním prostředí, aniž by vývojáři museli spravovat tajné kódy v samotné aplikaci.

Další kroky

V tomto kurzu jste zjistili, jak migrovat aplikaci na připojení bez hesla.