Azure-ban üzemeltetett Python-alkalmazások hitelesítése Azure erőforrásokhoz felhasználó által hozzárendelt felügyelt identitás használatával.

Az Azure által üzemeltetett alkalmazások más Azure erőforrásokra való hitelesítésének ajánlott módszere egy felügyelt identitás használata. Ez a megközelítés támogatott a legtöbb Azure szolgáltatáshoz, beleértve a Azure App Service, Azure Container Apps és Azure Virtual Machines üzemeltetett alkalmazásokat is. A hitelesítés áttekintési oldalán talál további információkat a különböző hitelesítési technikákról és módszerekről. Az alábbi szakaszokban a következő ismereteket fogja elsajátítani:

  • Alapvető felügyelt identitásfogalmak
  • Felhasználó által hozzárendelt felügyelt identitás létrehozása az alkalmazáshoz
  • Szerepkörök hozzárendelése a felhasználó által hozzárendelt felügyelt identitáshoz
  • Hitelesítés a felhasználó által hozzárendelt felügyelt identitással az alkalmazáskódból

Alapvető felügyelt identitásfogalmak

A felügyelt identitás lehetővé teszi, hogy az alkalmazás biztonságosan csatlakozzon más Azure erőforrásokhoz titkos kulcsok vagy más alkalmazáskulcsok használata nélkül. Belsőleg Azure nyomon követi az identitást, és hogy mely erőforrásokhoz csatlakozhat. Azure ezeket az információkat arra használja, hogy automatikusan Microsoft Entra tokeneket szerezzen meg az alkalmazáshoz, lehetővé téve, hogy más Azure erőforrásokhoz csatlakozzon.

A felügyelt identitások kétféleképpen konfigurálhatók a üzemeltetett alkalmazás konfigurálásakor:

  • System által hozzárendelt felügyelt identitások közvetlenül egy Azure erőforráson vannak engedélyezve, és az életciklusához vannak kötve. Az erőforrás törlésekor az Azure automatikusan törli az identitást. A rendszer által hozzárendelt identitások minimalista megközelítést biztosítanak a felügyelt identitások használatához.
  • Felhasználó által hozzárendelt felügyelt identitások különálló Azure erőforrásokként jönnek létre, és nagyobb rugalmasságot és képességeket biztosítanak. Olyan megoldásokhoz ideálisak, amelyek több Azure erőforrást tartalmaznak, amelyeknek azonos identitással és engedélyekkel kell rendelkezniük. Ha például több virtuális gépnek kell elérnie ugyanazt a Azure erőforráskészletet, a felhasználó által hozzárendelt felügyelt identitás újrahasználhatóságot és optimalizált felügyeletet biztosít.

Jótanács

További információ a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitások kiválasztásáról és kezeléséről a felügyelt identitásokkal kapcsolatos ajánlott eljárásokra vonatkozó javaslatokkal foglalkozó cikkben.

Az alábbi szakaszok ismertetik a felhasználó által hozzárendelt felügyelt identitás engedélyezésének és használatának lépéseit egy Azure üzemeltetett alkalmazáshoz. Ha rendszer által hozzárendelt felügyelt identitást kell használnia, további információért tekintse meg a rendszer által hozzárendelt felügyelt identitásokról szóló cikket.

Felhasználó által hozzárendelt felügyelt identitás létrehozása

A felhasználó által hozzárendelt felügyelt identitások különálló erőforrásokként jönnek létre az Azure-előfizetésben a Azure portál vagy a Azure CLI használatával. Azure CLI parancsok futtathatók a Azure Cloud Shell vagy a Azure CLI telepített munkaállomáson.

  1. A Azure portálon adja meg a Managed identityes kifejezést a fő keresősávban, és válassza ki az egyező találatot a Szolgáltatások szakaszban.

  2. A Felügyelt identitások lapon válassza a +létrehozása lehetőséget.

    Képernyőkép a felhasználó által hozzárendelt felügyelt identitások kezelésére szolgáló oldalról.

  3. A Felhasználó által hozzárendelt felügyelt identitás létrehozása lapon válassza ki a felhasználó által hozzárendelt felügyelt identitáshoz tartozó előfizetést, erőforráscsoportot és régiót, majd adjon meg egy nevet.

  4. Válassza Véleményezés + létrehozása lehetőséget a bemenetek áttekintéséhez és érvényesítéséhez.

    Képernyőkép a felhasználó által hozzárendelt felügyelt identitás létrehozásához az űrlapról.

  5. Válassza a létrehozása lehetőséget a felhasználó által hozzárendelt felügyelt identitás létrehozásához.

  6. Az identitás létrehozása után válassza az Ugrás az erőforrásra.

  7. Az új identitás Áttekintés oldalon másolja a ügyfélazonosító értéket, amelyet később felhasználhat az alkalmazáskód konfigurálásakor.

Felügyelt identitás hozzárendelése az alkalmazáshoz

Egy felhasználó által hozzárendelt felügyelt identitás társítható egy vagy több Azure erőforráshoz. Az identitást használó összes erőforrás az identitás szerepkörei által alkalmazott engedélyeket szerzi be.

  1. A Azure portálon keresse meg az alkalmazáskódot futtató erőforrást, például egy Azure App Service vagy Azure Container Apps-példányt.

  2. Az erőforrás Áttekintés lapján bontsa ki a Beállítások elemet, és válassza ki az Identitás elemet a navigációs sávon.

  3. Az Identitás lapon váltson a Felhasználó által hozzárendelt lapra.

  4. Válassza a + hozzáadása lehetőséget a Felhasználó által hozzárendelt felügyelt identitás hozzáadása panel megnyitásához.

  5. A Felhasználó által hozzárendelt felügyelt identitás hozzáadása panelen a Előfizetés legördülő lista használatával szűrheti az identitások keresési eredményeit. A Felhasználó által hozzárendelt felügyelt identitások keresőmezővel keresse meg az alkalmazást futtató Azure erőforráshoz engedélyezett felhasználó által hozzárendelt felügyelt identitást.

  6. Válassza ki az azonosítót, és a panel alján válassza a hozzáadása lehetőséget a folytatáshoz.

    Képernyőkép a felhasználó által hozzárendelt felügyelt identitás alkalmazáshoz való társításáról.

Szerepkörök hozzárendelése a felügyelt identitáshoz

Ezután határozza meg, hogy az alkalmazásnak mely szerepkörökre van szüksége, és rendelje hozzá ezeket a szerepköröket a felügyelt identitáshoz. A szerepköröket a következő hatókörökben rendelheti hozzá egy felügyelt identitáshoz:

  • erőforrás-: A hozzárendelt szerepkörök csak az adott erőforrásra vonatkoznak.
  • erőforráscsoport: A hozzárendelt szerepkörök az erőforráscsoportban található összes erőforrásra vonatkoznak.
  • Előfizetési: A hozzárendelt szerepkörök az előfizetésben található összes erőforrásra vonatkoznak.

Az alábbi példa bemutatja, hogyan rendelhet hozzá szerepköröket az erőforráscsoport hatóköréhez, mivel számos alkalmazás egyetlen erőforráscsoport használatával kezeli az összes kapcsolódó Azure erőforrást.

  1. Nyissa meg az Áttekintés lapját annak az erőforráscsoportnak, amely a felhasználó által hozzárendelt felügyelt identitással rendelkező alkalmazást tartalmazza.

  2. Válassza Hozzáférés-vezérlés (IAM) a bal oldali navigációs sávon.

  3. A Hozzáférés-vezérlés (IAM) lapon válassza a + hozzáadása lehetőséget a felső menüben, majd válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget a Szerepkör-hozzárendelés hozzáadása lapra való navigáláshoz.

    Képernyőkép az identitásszerepkör-hozzárendelési lap eléréséről.

  4. A Szerepkör-hozzárendelés hozzáadása oldal egy füles, többlépéses munkafolyamatot jelenít meg a szerepkörök identitásokhoz való hozzárendeléséhez. A kezdeti Szerepkör lapon a felső keresőmezővel keresse meg az identitáshoz hozzárendelni kívánt szerepkört.

  5. Válassza ki a szerepkört az eredmények közül, majd a Következő lehetőséget választva lépjen a Tagok lapra.

  6. A Hozzáférés hozzárendeléséhez a beállításnál válassza ki a Felügyelt identitáslehetőséget.

  7. A Tagok beállításnál válassza a + Tagok kijelölése lehetőséget a Felügyelt identitások kiválasztása panel megnyitásához.

  8. A Felügyelt identitások kiválasztása panelen az Előfizetés és Felügyelt identitás legördülő menükből szűrheti az identitások keresési eredményeit. A Select keresőmezőt használva keresse meg a felhasználó által hozzárendelt felügyelt identitást, amelyet engedélyezett az alkalmazást üzemeltető Azure erőforráshoz.

    Képernyőkép a felügyelt identitás-hozzárendelési folyamatról.

  9. Válassza ki az azonosságot, és válassza a Kijelölés lehetőséget a panel alján a folytatáshoz.

  10. Válassza a Véleményezés és a Hozzárendelés lehetőséget az oldal alján.

  11. Az utolsó Véleményezés és hozzárendelés lapon válassza az Véleményezés és hozzárendelés lehetőséget a munkafolyamat befejezéséhez.

Hitelesítés Azure szolgáltatásokhoz az alkalmazásból

Az Azure Identitástár különböző hitelesítő adatokat – a TokenCredential különböző forgatókönyvek és Microsoft Entra hitelesítési folyamatok támogatásához igazított implementációit biztosítja. Mivel a felügyelt identitás helyi futtatáskor nem érhető el, az alábbi lépések bemutatják, hogy melyik hitelesítő adatot melyik forgatókönyvben érdemes használni:

  • Helyi fejlesztési környezet: helyi fejlesztés során csakhasználjon egy DefaultAzureCredential nevű osztályt a hitelesítő adatok véleményezett, előre konfigurált láncolatához. DefaultAzureCredential észleli a felhasználói hitelesítő adatokat a helyi fejlesztő eszközökből vagy IDE-ből, például az Azure CLI vagy a Visual Studio Code. Emellett rugalmasságot és kényelmet biztosít az újrapróbálkozáshoz, a válaszok várakozási idejéhez és a több hitelesítési lehetőség támogatásához is. További információért látogasson el az Azure szolgáltatások hitelesítése helyi fejlesztés során című cikkre.
  • Azure által üzemeltetett alkalmazások: Ha az alkalmazás Azure fut, az ManagedIdentityCredential használatával biztonságosan felderítheti az alkalmazáshoz konfigurált felügyelt identitást. Ennek a hitelesítő adattípusnak a megadása megakadályozza, hogy más elérhető hitelesítő adatok váratlanul átvehetők legyenek.

A kód implementálása

Adja hozzá az azure-identity csomagot az alkalmazáshoz az alkalmazásprojekt könyvtárába lépve, és futtassa a következő parancsot:

pip install azure-identity

Azure szolgáltatások speciális ügyfélosztályokkal érhetők el a különböző Azure SDK ügyfélkódtárakból. Az alábbi példakód bemutatja, hogyan hozhat létre hitelesítőadat-példányt, és hogyan használhatja azt egy Azure SDK szolgáltatásügyféllel. Az alkalmazáskódban hajtsa végre a következő lépéseket a felügyelt identitás használatával történő hitelesítéshez:

  1. Importálja az osztályt ManagedIdentityCredential a azure.identity modulból.
  2. Hozzon létre egy objektumot ManagedIdentityCredential , és konfigurálja az ügyfél-azonosítót, az erőforrás-azonosítót vagy az objektumazonosítót.
  3. Adja át a ManagedIdentityCredential objektumot a Azure SDK ügyfélkonstruktornak.

Az ügyfélazonosító egy felügyelt identitás azonosítására szolgál, amikor olyan alkalmazásokat vagy szolgáltatásokat konfigurál, amelyeknek hitelesíteni kell az adott identitással.

  1. Kérje le a felhasználó által hozzárendelt felügyelt identitáshoz rendelt ügyfélazonosítót a következő paranccsal:

    az identity show \
    --resource-group <resource-group-name> \
    --name <identity-name> \
    --query 'clientId'

  2. Konfigurálja a ManagedIdentityCredential-t az ügyfélazonosítóval:

    from azure.identity import ManagedIdentityCredential
from azure.storage.blob import BlobServiceClient

credential = ManagedIdentityCredential(
    client_id="<client-id>"
)

blob_service_client = BlobServiceClient(
    account_url="https://<account-name>.blob.core.windows.net",
    credential=credential
)
  • Last updated on