Biztonságos csatlakozás Azure-szolgáltatásokhoz és -adatbázisokhoz Azure-alkalmazás Szolgáltatásból
Előfordulhat, hogy az app service-nek más Azure-szolgáltatásokhoz, például adatbázishoz, tárhoz vagy más alkalmazáshoz kell csatlakoznia. Ez az áttekintés különböző kapcsolódási módszereket javasol, és hogy mikor érdemes használni őket.
| Kapcsolati módszer | Mikor érdemes használni? |
|---|---|
| Csatlakozás az alkalmazás identitásának használatával | * Olyan erőforráshoz szeretne csatlakozni, amely nem rendelkezik hitelesített felhasználóval, vagy nem használja az alkalmazás identitását. * Nem kell kezelnie a hitelesítő adatokat, kulcsokat vagy titkos kulcsokat, vagy a hitelesítő adatok nem is érhetők el. * Felügyelt identitásokkal kezelheti az Ön hitelesítő adatait. * Az Azure-erőforrás eléréséhez Microsoft Entra-identitás szükséges. Ilyenek például a Microsoft Graph vagy az Azure management SDK-k. |
| Csatlakozás hitelesített felhasználóként | * Szeretne hozzáférni egy erőforráshoz, és végre szeretne hajtani néhány műveletet bejelentkezett felhasználóként. |
| titkos kódok Csatlakozás | * A titkos kulcsokat környezeti változókként kell átadni az alkalmazásnak. * Nem Azure-szolgáltatásokhoz, például a GitHubhoz, a Twitterhez, a Facebookhoz vagy a Google-hoz szeretne csatlakozni. * Az alsóbb rétegbeli erőforrás nem támogatja a Microsoft Entra-hitelesítést. * Az alsóbb rétegbeli erőforráshoz valamilyen kapcsolati sztring, kulcsra vagy titkos kódra van szükség. |
titkos kódok Csatlakozás
Az alkalmazásban kétféleképpen használhat titkos kulcsokat: az Azure Key Vaultban tárolt titkos kulcsokat, vagy az App Service alkalmazásbeállításaiban tárolt titkos kulcsokat.
Titkos kódok használata az alkalmazásbeállításokban
Egyes alkalmazások környezeti változókkal férnek hozzá a titkos kódokhoz. Az App Service alkalmazásbeállításai hagyományosan kapcsolati sztring, API-kulcsok és egyéb környezeti változók tárolására szolgálnak. Ezeket a titkos kulcsokat az alkalmazás indításakor környezeti változókként injektáljuk az alkalmazás kódjába. Az alkalmazásbeállítások mindig titkosítva lesznek tároláskor (inaktív állapotban titkosítva). Ha hozzáférési szabályzatokat és naplóelőzményeket is szeretne a titkos kódokhoz, fontolja meg az Azure Key Vaultban való elhelyezést, és használja a Key Vault-hivatkozásokat az alkalmazásbeállításokban.
Példák alkalmazáskulcsok adatbázishoz való csatlakozására:
- ASP.NET Core és SQL DB
- ASP.NET AZ SQL DB-vel
- PHP és MySQL
- Node.js és MongoDB
- Python és Postgres
- Java és Spring Data
- Quarkus és Postgres
Titkos kulcsok használata a Key Vaultból
Az Azure Key Vault használható titkos kulcsok és kulcsok biztonságos tárolására, a titkos kódok elérésének és használatának figyelésére, valamint az alkalmazás titkos kulcsainak felügyeletének egyszerűsítésére. Ha az alkalmazás alsóbb rétegbeli szolgáltatása nem támogatja a Microsoft Entra-hitelesítést, vagy kapcsolati sztring vagy kulcsra van szüksége, a Key Vault használatával tárolja a titkos kulcsokat, és csatlakoztassa az alkalmazást a Key Vaulthoz egy felügyelt identitással, és kérje le a titkos kulcsokat.
A Key Vaulttal integrált felügyelt identitások előnyei a következők:
- A Key Vaulthoz való hozzáférés az alkalmazásra korlátozódik.
- Előfordulhat, hogy az alkalmazás közreműködői, például a rendszergazdák teljes mértékben felügyelik az App Service-erőforrásokat, és ugyanakkor nem férnek hozzá a Key Vault titkos kulcsaihoz.
- Nincs szükség kódmódosításra, ha az alkalmazáskód már hozzáfér a kapcsolati titkos kódokhoz az alkalmazás beállításaival.
- A Key Vault figyeli és naplózja, hogy ki fért hozzá a titkos kulcsokhoz.
- A Key Vault kapcsolati adatainak rotálása nem igényel módosításokat az App Service-ben.
Az alábbi kép bemutatja, hogy az App Service egy felügyelt identitással csatlakozik a Key Vaulthoz, majd az i Key Vaultban tárolt titkos kulcsokkal fér hozzá egy Azure-szolgáltatáshoz:
Csatlakozás az alkalmazás identitásának használatával
Bizonyos esetekben az alkalmazásnak hozzá kell férnie az adatokhoz az alkalmazás identitása alatt, vagy anélkül, hogy bejelentkezett felhasználó jelen lenne. A Microsoft Entra-azonosítóból származó felügyelt identitás lehetővé teszi, hogy az App Service szerepköralapú hozzáférés-vezérléssel (RBAC) férhessen hozzá az erőforrásokhoz alkalmazás hitelesítő adatainak megkövetelése nélkül. A felügyelt identitások bármilyen olyan erőforráshoz csatlakozhatnak, amely támogatja a Microsoft Entra-hitelesítést. Miután hozzárendelt egy felügyelt identitást a webalkalmazáshoz, az Azure gondoskodik a tanúsítványok létrehozásáról és terjesztéséről. Nem kell aggódnia a titkos kódok vagy az alkalmazás hitelesítő adatainak kezelése miatt.
Az alábbi képen az alábbi App Service látható, amely más Azure-szolgáltatásokhoz csatlakozik:
- Válasz: A felhasználó felkeresi az Azure App Service webhelyét.
- B: Biztonságos csatlakozás az App Service-bőlegy másik Azure-szolgáltatáshoz felügyelt identitás használatával.
- C: Biztonságos csatlakozás az App Service-bőla Microsoft Graphhoz felügyelt identitás használatával.
Csatlakozás hitelesített felhasználóként
Bizonyos esetekben az alkalmazásnak csatlakoznia kell egy erőforráshoz, és végre kell hajtania néhány olyan műveletet, amelyet csak a bejelentkezett felhasználó végezhet el. Delegált engedélyeket adhat az alkalmazásnak az erőforrásokhoz való csatlakozáshoz a bejelentkezett felhasználó identitásával.
Az alábbi képen egy alkalmazás látható, amely biztonságosan hozzáfér egy SQL-adatbázishoz a bejelentkezett felhasználó nevében.
Néhány gyakori forgatókönyv a következő:
- Csatlakozás a Microsoft Graphra felhasználóként
- Csatlakozás egy SQL-adatbázishoz felhasználóként
- Csatlakozás másik App Service-alkalmazásba felhasználóként
- Csatlakozás egy másik App Service-alkalmazásba, majd egy alárendelt szolgáltatásba felhasználóként
Következő lépések
Az alábbiak végrehajtásának módját ismerheti meg:
- Titkos kulcsok biztonságos tárolása az Azure Key Vaultban.
- Felügyelt identitással érheti el az erőforrásokat.
- Titkos kulcsok tárolása az App Service alkalmazásbeállításai alapján.
- Csatlakozás a Microsoft Graphra felhasználóként.
- Csatlakozás egy SQL-adatbázishoz felhasználóként.
- Csatlakozás másik App Service-alkalmazásba felhasználóként.
- Csatlakozás másik App Service-alkalmazásba, majd felhasználóként egy alsóbb rétegbeli szolgáltatásba.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: