Autenticación de aplicaciones de Go hospedadas en Azure en recursos de Azure mediante una identidad administrada asignada por el sistema

El enfoque recomendado para autenticar una aplicación hospedada en Azure en otros recursos de Azure es usar una identidad administrada. Este enfoque se admite para la mayoría de los servicios de Azure, incluidas las aplicaciones hospedadas en Azure App Service, Azure Container Apps y Azure Virtual Machines. Obtenga más información sobre las distintas técnicas y enfoques de autenticación en la página de información general de autenticación . En las secciones siguientes, aprenderá lo siguiente:

• Conceptos esenciales de identidad administrada
• Creación de una identidad administrada asignada por el sistema para la aplicación
• Asignación de roles a la identidad administrada asignada por el sistema
• Autenticación mediante la identidad administrada asignada por el sistema desde el código de la aplicación

Conceptos esenciales de identidad administrada

Una identidad administrada permite a la aplicación conectarse de forma segura a otros recursos de Azure sin el uso de claves secretas u otros secretos de aplicación. Internamente, Azure realiza un seguimiento de la identidad y a qué recursos puede conectarse. Azure usa esta información para obtener automáticamente tokens de Microsoft Entra para la aplicación para permitir que se conecte a otros recursos de Azure.

Hay dos tipos de identidades administradas que se deben tener en cuenta al configurar la aplicación hospedada:

• Las identidades administradas asignadas por el sistema se habilitan directamente en un recurso de Azure y están vinculadas a su ciclo de vida. Cuando se elimina el recurso, Azure elimina automáticamente la identidad por usted. Las identidades asignadas por el sistema proporcionan un enfoque minimalista para usar identidades administradas.
• Las identidades administradas asignadas por el usuario se crean como recursos independientes de Azure y ofrecen mayor flexibilidad y funcionalidades. Son ideales para soluciones que implican varios recursos de Azure que necesitan compartir la misma identidad y permisos. Por ejemplo, si varias máquinas virtuales necesitan acceder al mismo conjunto de recursos de Azure, una identidad administrada asignada por el usuario proporciona reutilización y administración optimizada.

Sugerencia

Obtenga más información sobre cómo seleccionar y administrar identidades administradas asignadas por el sistema y asignadas por el usuario en el artículo recomendaciones de procedimientos recomendados de identidad administrada .

En las secciones siguientes se describen los pasos para habilitar y usar una identidad administrada asignada por el sistema para una aplicación hospedada en Azure. Si necesita usar una identidad administrada asignada por el usuario, visite el artículo identidades administradas asignadas por el usuario para obtener más información.

Habilitación de una identidad administrada asignada por el sistema en el recurso de hospedaje de Azure

Para empezar a usar una identidad administrada asignada por el sistema con la aplicación, habilite la identidad en el recurso de Azure que hospeda la aplicación, como Azure App Service, Azure Container App o Azure Virtual Machine.

Puede habilitar una identidad administrada asignada por el sistema para un recurso de Azure mediante Azure Portal o la CLI de Azure.

Azure Portal

1. En Azure Portal, vaya al recurso que hospeda el código de la aplicación, como una instancia de Azure App Service o azure Container App.

2. En la página Información general del recurso, expanda Configuración y seleccione Identidad en el panel de navegación.

3. En la página Identidad , cambie el control deslizante Estado a Activado.

4. Seleccione Guardar para aplicar los cambios.

   

Azure CLI

Los comandos de la CLI de Azure se pueden ejecutar en Azure Cloud Shell o en una estación de trabajo con la CLI de Azure instalada.

Los comandos de la CLI de Azure que se usan para habilitar la identidad administrada para un recurso de Azure tienen el formato az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. A continuación se muestran comandos específicos para los servicios populares de Azure.

Azure App Service:

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <web-app-name>

Máquina virtual de Azure:

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

El resultado debería ser similar al siguiente:

{
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

El valor principalId es el identificador único de la identidad administrada. Mantenga una copia de esta salida, ya que necesitará estos valores en el paso siguiente.

Asignación de roles a la identidad administrada

A continuación, determine qué roles necesita la aplicación y asígnelos a la identidad administrada. Puede asignar roles a una identidad administrada en los ámbitos siguientes:

• Recurso: los roles asignados solo se aplican a ese recurso específico.
• Grupo de recursos: los roles asignados se aplican a todos los recursos contenidos en el grupo de recursos.
• Suscripción: los roles asignados se aplican a todos los recursos contenidos en la suscripción.

En el ejemplo siguiente se muestra cómo asignar roles en el ámbito del grupo de recursos, ya que muchas aplicaciones administran todos sus recursos de Azure relacionados mediante un único grupo de recursos.

Azure Portal

1. Vaya a la página Información general del grupo de recursos que contiene la aplicación con la identidad administrada asignada por el sistema.

2. Seleccione Control de acceso (IAM) en el panel de navegación izquierdo.

3. En la página Control de acceso (IAM), seleccione + Agregar en el menú superior y elija Agregar asignación de roles para ir a la página Agregar asignación de roles .

   

4. La página Agregar asignación de roles presenta un flujo de trabajo de varios pasos con pestañas para asignar roles a identidades. En la pestaña Rol inicial, use el cuadro de búsqueda de la parte superior para buscar el rol que desea asignar a la identidad.

5. Seleccione el rol en los resultados y, a continuación, elija Siguiente para ir a la pestaña Miembros .

6. En la opción Asignar acceso a , seleccione Identidad administrada.

7. En la opción Miembros , elija + Seleccionar miembros para abrir el panel Seleccionar identidades administradas .

8. En el panel Seleccionar identidades administradas , use las listas desplegables Suscripción e Identidad administrada para filtrar los resultados de búsqueda de sus identidades. Use el cuadro de búsqueda Seleccionar para buscar la identidad del sistema que ha habilitado para el recurso de Azure que hospeda la aplicación.

   

9. Seleccione la identidad y elija Seleccionar en la parte inferior del panel para continuar.

10. Seleccione Revisar y asignar en la parte inferior de la página.

11. En la pestaña Revisar y asignar final, seleccione Revisar y asignar para completar el flujo de trabajo.

Azure CLI

A una identidad administrada se le asigna un rol en Azure mediante el comando az role assignment create :

az role assignment create \
    --assignee "{managedIdentityId}" \
    --role "{roleName}" \
    --scope "{scope}"

Para obtener los nombres de rol a los que se puede asignar una entidad de servicio, use el comando az role definition list :

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Por ejemplo, para permitir la identidad administrada con el identificador de lectura, escritura y eliminación de acceso a contenedores y datos de blobs de Azure Storage a todas las cuentas de almacenamiento del grupo de recursos aaaaaaaa-bbbb-cccc-1111-222222222222, asigne la entidad de servicio de la aplicación al rol Colaborador de datos de Blob de Storage mediante el siguiente comando:

az role assignment create \
    --assignee aaaaaaaa-bbbb-cccc-1111-222222222222 \
    --role "Storage Blob Data Contributor" \
    --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/msdocs-sdk-auth-example"

Para obtener información sobre cómo asignar permisos en el nivel de recurso o suscripción mediante la CLI de Azure, consulte el artículo Asignación de roles de Azure mediante la CLI de Azure.

Autenticación en servicios de Azure desde la aplicación

El módulo azidentity proporciona varias credenciales : implementaciones de TokenCredential adaptadas para admitir diferentes escenarios y flujos de autenticación de Microsoft Entra. Dado que la identidad administrada no está disponible cuando se ejecuta localmente, los pasos siguientes muestran qué credencial usar en qué escenario:

• Entorno de desarrollo local: solo durante el desarrollo local, use DefaultAzureCredential para una cadena preconfigurada de credenciales opinada. DefaultAzureCredential detecta las credenciales de usuario de las herramientas de desarrollo local, como la CLI de Azure. También proporciona flexibilidad y comodidad para reintentos, tiempos de espera para respuestas y compatibilidad con varias opciones de autenticación. Visite el artículo Autenticación en servicios de Azure durante el desarrollo local para más información.
• Aplicaciones hospedadas en Azure: cuando la aplicación se ejecuta en Azure, use ManagedIdentityCredential para detectar de forma segura la identidad administrada configurada para la aplicación. Especificar este tipo exacto de credencial impide que otras credenciales disponibles se recojan inesperadamente.

Implementación del código

Agregue el módulo azidentity .

En un terminal de su elección, vaya al directorio del proyecto de la aplicación y ejecute los siguientes comandos:

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

Se accede a los servicios de Azure mediante clientes especializados de las distintas bibliotecas cliente del SDK de Azure. Para cualquier código de Go que cree una instancia de un cliente de Azure SDK en la aplicación, debe hacer lo siguiente:

1. Importe el paquete de azidentity.
2. Cree una instancia de tipo DefaultAzureCredential.
3. Pase la instancia de tipo DefaultAzureCredential al constructor del cliente del SDK de Azure.
4. Establezca la variable de AZURE_TOKEN_CREDENTIALS entorno en ManagedIdentityCredential para asegurarse de que DefaultAzureCredential usa solo la credencial de identidad administrada. Esta práctica hace que la autenticación sea más predecible y fácil de depurar cuando se implementa en Azure. Para obtener más información, consulte Uso de una credencial específica.

En el siguiente segmento de código se muestra un ejemplo de estos pasos con un cliente de blobs de Azure Storage.

import (
	"context"
	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
	// create a credential
	cred, err := azidentity.NewDefaultAzureCredential(nil)
	if err != nil {
	  // TODO: handle error
	}

	// create a client for the specified storage account
	client, err := azblob.NewClient(account, cred, nil)
	if err != nil {
	  // TODO: handle error
	}

	// TODO: perform some action with the azblob Client
	// _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

Como se describe en el artículo introducción a la autenticación de Azure SDK para Go, DefaultAzureCredential admite varios métodos de autenticación y determina el método de autenticación que se usa en tiempo de ejecución. La ventaja de este enfoque es que la aplicación puede usar diferentes métodos de autenticación en distintos entornos sin implementar código específico del entorno. Cuando el código anterior se ejecuta en la estación de trabajo durante el desarrollo local, DefaultAzureCredential utiliza un principal de servicio de la aplicación, según lo determinado por la configuración del entorno, o las credenciales de la herramienta de desarrollador para autenticarse con otros recursos de Azure. Por lo tanto, se puede usar el mismo código para autenticar la aplicación en los recursos de Azure durante el desarrollo local y cuando se implementa en Azure.

Importante

DefaultAzureCredential simplifica la autenticación al desarrollar aplicaciones que se implementan en Azure mediante la combinación de credenciales usadas en entornos de hospedaje de Azure y credenciales usadas en el desarrollo local. En producción, es mejor usar un tipo de credencial específico para que la autenticación sea más predecible y fácil de depurar.

Una alternativa a DefaultAzureCredential es usar ManagedIdentityCredential. Los pasos para usar ManagedIdentityCredential son los mismos que para usar el DefaultAzureCredential tipo .

En el siguiente segmento de código se muestra un ejemplo de estos pasos con un cliente de blobs de Azure Storage.

import (
	"context"
	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
                    // Replace placeholder text with your storage account name
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
	// create a credential
	cred, err := azidentity.NewManagedIdentityCredential(nil)
	
	// When using User Assigned Managed Identity use this instead and pass your client id in the options
	// clientID := azidentity.ClientID("abcd1234-...")
	// opts := azidentity.ManagedIdentityCredentialOptions{ID: clientID}
	// cred, err := azidentity.NewManagedIdentityCredential(&opts)
	
	if err != nil {
	  // TODO: handle error
	}
	
	// create a client for the specified storage account
	client, err := azblob.NewClient(account, cred, nil)
	if err != nil {
	  // TODO: handle error
	}
	
	// TODO: perform some action with the azblob Client
	// _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}