Přístup ke službě Azure Storage z webové aplikace pomocí spravovaných identit

Zjistěte, jak získat přístup ke službě Azure Storage pro webovou aplikaci (ne přihlášeného uživatele) spuštěnou ve službě Aplikace Azure Pomocí spravovaných identit.

Chcete přidat přístup k rovině dat Azure (Azure Storage, Azure SQL Database, Azure Key Vault nebo jiné služby) z vaší webové aplikace. Můžete použít sdílený klíč, ale pak se musíte starat o provozní zabezpečení toho, kdo může vytvořit, nasadit a spravovat tajný klíč. Je také možné, že klíč je možné zkontrolovat na GitHubu, který hackeři vědí, jak hledat. Bezpečnější způsob, jak webové aplikaci poskytnout přístup k datům, je použití spravovaných identit.

Spravovaná identita z Microsoft Entra ID umožňuje službě App Service přístup k prostředkům prostřednictvím řízení přístupu na základě role (RBAC) bez vyžadování přihlašovacích údajů aplikace. Po přiřazení spravované identity k webové aplikaci se Azure postará o vytvoření a distribuci certifikátu. Lidé se nemusíte starat o správu tajných kódů nebo přihlašovacích údajů aplikace.

V tomto kurzu se naučíte:

• Vytvořte spravovanou identitu přiřazenou systémem ve webové aplikaci.
• Vytvořte účet úložiště a kontejner služby Azure Blob Storage.
• Přístup k úložišti z webové aplikace pomocí spravovaných identit

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure před tím, než začnete.

Požadavky

• Webová aplikace spuštěná ve službě Aplikace Azure, která má povolený modul ověřování/autorizace služby App Service.

Povolení spravované identity v aplikaci

Pokud webovou aplikaci vytvoříte a publikujete prostřednictvím sady Visual Studio, spravovaná identita byla ve vaší aplikaci povolená za vás. Ve službě App Service vyberte v levém podokně Možnost Identita a pak vyberte Přiřazený systém. Ověřte, že je stav nastavený na Zapnuto. Pokud ne, vyberte Uložit a potom vyberte Ano a povolte spravovanou identitu přiřazenou systémem. Pokud je spravovaná identita povolená, stav je nastavený na Zapnuto a ID objektu je k dispozici.

Tento krok vytvoří nové ID objektu, které se liší od ID aplikace vytvořené v podokně Ověřování/autorizace . Zkopírujte ID objektu spravované identity přiřazené systémem. Budete ho totiž potřebovat později.

Vytvoření účtu úložiště a kontejneru Blob Storage

Teď jste připraveni vytvořit účet úložiště a kontejner Blob Storage.

Každý účet úložiště musí patřit do nějaké skupiny prostředků Azure. Skupina prostředků je logický kontejner pro seskupení služeb Azure. Při vytváření účtu úložiště máte možnost buď vytvořit novou skupinu prostředků, nebo použít existující skupinu prostředků. Tento článek ukazuje, jak vytvořit novou skupinu prostředků.

Účet úložiště Univerzální v2 poskytuje přístup ke všem službám Azure Storage: objektům blob, souborům, frontám, tabulkám a diskům. Zde uvedené kroky vytvoří účet úložiště pro obecné účely verze 2, ale postup vytvoření libovolného typu účtu úložiště je podobný.

Objekty blob ve službě Azure Storage jsou uspořádané do kontejnerů. Než budete moct nahrát objekt blob později v tomto kurzu, musíte nejprve vytvořit kontejner.

Azure Portal

Pokud chcete vytvořit účet úložiště pro obecné účely v2 na webu Azure Portal, postupujte takto.

1. V nabídce webu Azure Portal vyberte Všechny služby. V seznamu prostředků zadejte účty úložiště. Seznam se průběžně filtruje podle zadávaného textu. Vyberte Účty úložiště.

2. V okně Účty úložiště, které se zobrazí, vyberte Vytvořit.

3. Vyberte předplatné, ve kterém chcete vytvořit účet úložiště.

4. V poli Skupina prostředků vyberte skupinu prostředků, která obsahuje vaši webovou aplikaci, z rozevírací nabídky.

5. Dále zadejte název účtu úložiště. Zvolený název musí být jedinečný v rámci Azure. Název musí mít délku 3 až 24 znaků a může obsahovat jenom číslice a malá písmena.

6. Vyberte pro svůj účet úložiště nějaké umístění nebo použijte výchozí umístění.

7. V části Výkon vyberte možnost Standard .

8. V části Redundance vyberte v rozevíracím seznamu možnost Místně redundantní úložiště (LRS ).

9. Výběrem možnosti Zkontrolovat zkontrolujte nastavení účtu úložiště a vytvořte účet.

10. Vyberte Vytvořit.

Pokud chcete vytvořit kontejner Blob Storage ve službě Azure Storage, postupujte takto.

1. Na webu Azure Portal přejděte ke svému novému účtu úložiště.

2. V nabídce vlevo pro účet úložiště se posuňte do části Úložiště dat a pak vyberte Kontejnery.

3. Vyberte tlačítko + Kontejner.

4. Zadejte název nového kontejneru. Název kontejneru musí obsahovat malá písmena, musí začínat písmenem nebo číslicí a smí obsahovat jenom písmena, číslice a spojovníky (-).

5. Nastavte úroveň veřejného přístupu ke kontejneru. Výchozí úroveň je Privátní (bez anonymního přístupu).

6. Výběrem možnosti Vytvořit vytvořte kontejner.

PowerShell

Pokud chcete vytvořit účet úložiště pro obecné účely v2 a kontejner Blob Storage, spusťte následující skript. Zadejte název skupiny prostředků, která obsahuje vaši webovou aplikaci. Zadejte název účtu úložiště. Zvolený název musí být jedinečný v rámci Azure. Název musí mít délku 3 až 24 znaků a může obsahovat jenom číslice a malá písmena.

Zadejte umístění účtu úložiště. Pokud chcete zobrazit seznam umístění platných pro vaše předplatné, spusťte Get-AzLocation | select Locationpříkaz . Název kontejneru musí obsahovat malá písmena, musí začínat písmenem nebo číslicí a smí obsahovat jenom písmena, číslice a spojovníky (-).

Nezapomeňte nahradit zástupné hodnoty v lomených závorkách vlastními hodnotami.

Connect-AzAccount

$resourceGroup = "securewebappresourcegroup"
$location = "<location>"
$storageName="securewebappstorage"
$containerName = "securewebappblobcontainer"

$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup `
  -Name $storageName `
  -Location $location `
  -SkuName Standard_RAGRS `
  -Kind StorageV2

$ctx = $storageAccount.Context

New-AzStorageContainer -Name $containerName -Context $ctx -Permission blob

Azure CLI

Pokud chcete vytvořit účet úložiště pro obecné účely v2 a kontejner Blob Storage, spusťte následující skript. Zadejte název skupiny prostředků, která obsahuje vaši webovou aplikaci. Zadejte název účtu úložiště. Zvolený název musí být jedinečný v rámci Azure. Název musí mít délku 3 až 24 znaků a může obsahovat jenom číslice a malá písmena.

Zadejte umístění účtu úložiště. Název kontejneru musí obsahovat malá písmena, musí začínat písmenem nebo číslicí a smí obsahovat jenom písmena, číslice a spojovníky (-).

Následující příklad používá váš účet Microsoft Entra k autorizaci operace k vytvoření kontejneru. Před vytvořením kontejneru přiřaďte roli Přispěvatel dat objektů blob služby Storage sami sobě. I když jste vlastníkem účtu, potřebujete explicitní oprávnění k provádění operací s daty s účtem úložiště.

Nezapomeňte nahradit zástupné hodnoty v lomených závorkách vlastními hodnotami.

az login

az storage account create \
    --name securewebappstorage \
    --resource-group securewebappresourcegroup \
    --location <location> \
    --sku Standard_ZRS \
    --encryption-services blob

storageId=$(az storage account show -n securewebappstorage -g securewebappresourcegroup --query id --out tsv)

az ad signed-in-user show --query objectId -o tsv | az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee @- \
    --scope $storageId

az storage container create \
    --account-name securewebappstorage \
    --name securewebappblobcontainer \
    --auth-mode login

Udělení přístupu k účtu úložiště

Abyste mohli vytvářet, číst nebo odstraňovat objekty blob, musíte webové aplikaci udělit přístup k účtu úložiště. V předchozím kroku jste nakonfigurovali webovou aplikaci spuštěnou ve službě App Service se spravovanou identitou. Pomocí Azure RBAC můžete spravované identitě udělit přístup k jinému prostředku, stejně jako jakýkoli objekt zabezpečení. Role Přispěvatel dat objektů blob služby Storage poskytuje webové aplikaci (reprezentovanou spravovanou identitou přiřazenou systémem) přístup ke čtení, zápisu a odstraňování přístupu ke kontejneru objektů blob a datům.

Poznámka:

Azure RBAC nepodporuje některé operace s kontejnery privátních objektů blob, jako je zobrazení objektů blob nebo kopírování objektů blob mezi účty. Kontejner objektů blob s úrovní privátního přístupu vyžaduje token SAS pro jakoukoli operaci, která není autorizována azure RBAC. Další informace naleznete v tématu Kdy použít sdílený přístupový podpis.

Azure Portal

Na webu Azure Portal přejděte do svého účtu úložiště a udělte přístup k webové aplikaci. V levém podokně vyberte Řízení přístupu (IAM) a pak vyberte Přiřazení rolí. Zobrazí se seznam uživatelů, kteří mají přístup k účtu úložiště. Teď chcete do robota přidat přiřazení role, služba App Service, která potřebuje přístup k účtu úložiště. Výběrem možnosti Přidat>přiřazení role otevřete stránku Přidat přiřazení role.

1. Na kartě Typ přiřazení vyberte Typ funkce Úloha a pak Další.

2. Na kartě Role vyberte v rozevíracím seznamu roli Přispěvatel dat objektů blob služby Storage a pak vyberte Další.

3. Na kartě Členové vyberte Přiřadit přístup ke spravované> identitě a pak vyberte Členové ->Vybrat členy. V okně Vybrat spravované identity vyhledejte a v rozevíracím seznamu Spravované identity vyberte spravovanou identitu vytvořenou pro službu App Service. Zvolte tlačítko Vybrat.

4. Vyberte Zkontrolovat a přiřadit a pak znovu vyberte Zkontrolovat a přiřadit .

Podrobný postup najdete v tématu Přiřazování rolí Azure s využitím webu Azure Portal.

Vaše webová aplikace teď má přístup k vašemu účtu úložiště.

PowerShell

Spuštěním následujícího skriptu přiřaďte svou webovou aplikaci (reprezentovanou spravovanou identitou přiřazenou systémem) roli Přispěvatel dat objektů blob služby Storage ve vašem účtu úložiště.

$resourceGroup = "securewebappresourcegroup"
$webAppName="SecureWebApp20201102125811"
$storageName="securewebappstorage"

$spID = (Get-AzWebApp -ResourceGroupName $resourceGroup -Name $webAppName).identity.principalid
$storageId= (Get-AzStorageAccount -ResourceGroupName $resourceGroup -Name $storageName).Id
New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Storage Blob Data Contributor" -Scope $storageId

Azure CLI

Spuštěním následujícího skriptu přiřaďte svou webovou aplikaci (reprezentovanou spravovanou identitou přiřazenou systémem) roli Přispěvatel dat objektů blob služby Storage ve vašem účtu úložiště.

spID=$(az resource list -n SecureWebApp20201102125811 --query [*].identity.principalId --out tsv)

storageId=$(az storage account show -n securewebappstorage -g securewebappresourcegroup --query id --out tsv)

az role assignment create --assignee $spID --role 'Storage Blob Data Contributor' --scope $storageId

Přístup ke službě Blob Storage

C#

DefaultAzureCredential třída slouží k získání přihlašovacích údajů tokenu pro váš kód k autorizaci požadavků do Služby Azure Storage. Vytvořte instanci DefaultAzureCredential třídy, která používá spravovanou identitu k načtení tokenů a jejich připojení k klientovi služby. Následující příklad kódu získá přihlašovací údaje ověřeného tokenu a použije ho k vytvoření objektu klienta služby, který nahraje nový objekt blob.

Pokud chcete tento kód zobrazit jako součást ukázkové aplikace, podívejte se na ukázku na GitHubu.

Instalace balíčků klientské knihovny

Nainstalujte balíček NuGet služby Blob Storage pro práci se službou Blob Storage a klientskou knihovnou Azure Identity pro balíček NuGet pro .NET pro ověření pomocí přihlašovacích údajů Microsoft Entra. Nainstalujte klientské knihovny pomocí rozhraní příkazového řádku .NET (CLI) nebo konzoly Správce balíčků v sadě Visual Studio.

.NET CLI

Otevřete příkazový řádek a přepněte do adresáře, který obsahuje váš soubor projektu.

Spusťte příkazy instalace.

dotnet add package Azure.Storage.Blobs

dotnet add package Azure.Identity

Konzola Správce balíčků

Otevřete projekt nebo řešení v sadě Visual Studio a otevřete konzolu pomocí příkazu Nástroje>NuGet Správce balíčků> Správce balíčků Konzola.

Spusťte příkazy instalace.

Install-Package Azure.Storage.Blobs

Install-Package Azure.Identity

Příklad

using System;
using Azure.Storage.Blobs;
using Azure.Storage.Blobs.Models;
using System.Collections.Generic;
using System.Threading.Tasks;
using System.Text;
using System.IO;
using Azure.Identity;

// Some code omitted for brevity.

static public async Task UploadBlob(string accountName, string containerName, string blobName, string blobContents)
{
    // Construct the blob container endpoint from the arguments.
    string containerEndpoint = string.Format("https://{0}.blob.core.windows.net/{1}",
                                                accountName,
                                                containerName);

    // Get a credential and create a client object for the blob container.
    BlobContainerClient containerClient = new BlobContainerClient(new Uri(containerEndpoint),
                                                                    new DefaultAzureCredential());

    try
    {
        // Create the container if it does not exist.
        await containerClient.CreateIfNotExistsAsync();

        // Upload text to a new block blob.
        byte[] byteArray = Encoding.ASCII.GetBytes(blobContents);

        using (MemoryStream stream = new MemoryStream(byteArray))
        {
            await containerClient.UploadBlobAsync(blobName, stream);
        }
    }
    catch (Exception e)
    {
        throw e;
    }
}

Node.js

Třída DefaultAzureCredential z balíčku @azure/identity slouží k získání přihlašovacích údajů tokenu pro váš kód k autorizaci požadavků do služby Azure Storage. Třída BlobServiceClient z balíčku @azure/storage-blob slouží k nahrání nového objektu blob do úložiště. Vytvořte instanci DefaultAzureCredential třídy, která používá spravovanou identitu k načtení tokenů a jejich připojení ke klientovi služby Blob Service. Následující příklad kódu získá přihlašovací údaje ověřeného tokenu a použije ho k vytvoření objektu klienta služby, který nahraje nový objekt blob.

Pokud chcete tento kód zobrazit jako součást ukázkové aplikace, podívejte se na StorageHelper.js v ukázce na GitHubu.

Příklad

const { DefaultAzureCredential } = require("@azure/identity");
const { BlobServiceClient } = require("@azure/storage-blob");
const defaultAzureCredential = new DefaultAzureCredential();

// Some code omitted for brevity.

async function uploadBlob(accountName, containerName, blobName, blobContents) {
    const blobServiceClient = new BlobServiceClient(
        `https://${accountName}.blob.core.windows.net`,
        defaultAzureCredential
    );

    const containerClient = blobServiceClient.getContainerClient(containerName);

    try {
        await containerClient.createIfNotExists();
        const blockBlobClient = containerClient.getBlockBlobClient(blobName);
        const uploadBlobResponse = await blockBlobClient.upload(blobContents, blobContents.length);
        console.log(`Upload block blob ${blobName} successfully`, uploadBlobResponse.requestId);
    } catch (error) {
        console.log(error);
    }
}

Vyčištění prostředků

Pokud jste dokončili tento kurz a už nepotřebujete webovou aplikaci nebo přidružené prostředky, vyčistěte prostředky, které jste vytvořili.

Další kroky

App Service přistupuje k Microsoft Graphu jménem uživatele.