Memigrasikan aplikasi untuk menggunakan koneksi tanpa kata sandi dengan Azure Queue Storage

Permintaan aplikasi ke layanan Azure harus diautentikasi menggunakan konfigurasi seperti kunci akses akun atau koneksi tanpa kata sandi. Namun, Anda harus memprioritaskan koneksi tanpa kata sandi di aplikasi jika memungkinkan. Metode autentikasi tradisional yang menggunakan kata sandi atau kunci rahasia menciptakan risiko dan komplikasi keamanan. Kunjungi koneksi tanpa kata sandi untuk hub layanan Azure untuk mempelajari selengkapnya tentang keuntungan pindah ke koneksi tanpa kata sandi.

Tutorial berikut menjelaskan cara memigrasikan aplikasi yang ada untuk terhubung menggunakan koneksi tanpa kata sandi. Langkah-langkah migrasi yang sama ini harus berlaku apakah Anda menggunakan kunci akses, string koneksi, atau pendekatan berbasis rahasia lainnya.

Mengonfigurasi lingkungan pengembangan lokal Anda

Koneksi tanpa kata sandi dapat dikonfigurasi agar berfungsi untuk lingkungan lokal dan yang dihosting Azure. Di bagian ini, Anda akan menerapkan konfigurasi untuk memungkinkan pengguna individual mengautentikasi ke Azure Queue Storage untuk pengembangan lokal.

Tetapkan peran pengguna

Saat mengembangkan secara lokal, pastikan akun pengguna yang mengakses Queue Storage memiliki izin yang benar. Anda memerlukan peran Kontributor Data Antrean Penyimpanan untuk membaca dan menulis data antrean. Untuk menetapkan sendiri peran ini, Anda harus diberi peran Administrator Akses Pengguna, atau peran lain yang menyertakan tindakan Microsoft.Authorization/roleAssignments/write . Anda dapat menetapkan peran Azure RBAC kepada pengguna menggunakan portal Azure, Azure CLI, atau Azure PowerShell. Pelajari selengkapnya tentang cakupan yang tersedia untuk penetapan peran di halaman gambaran umum cakupan .

Contoh berikut menetapkan peran Kontributor Data Antrean Penyimpanan ke akun pengguna Anda. Peran ini memberikan akses baca dan tulis ke data antrean di akun penyimpanan Anda.

Portal Azure

1. Di portal Azure, temukan akun penyimpanan Anda menggunakan bilah pencarian utama atau navigasi kiri.

2. Di halaman gambaran umum akun penyimpanan, pilih Kontrol akses (IAM) dari menu kiri.

3. Di halaman Kontrol akses (IAM), pilih tab Penetapan peran.

4. Pilih + Tambahkan dari menu atas lalu Tambahkan penetapan peran dari menu drop-down yang dihasilkan.

   

5. Gunakan kotak pencarian untuk memfilter hasil ke peran yang diinginkan. Untuk contoh ini, cari Kontributor Data Antrean Penyimpanan dan pilih hasil yang cocok lalu pilih Berikutnya.

6. Di bagian Tetapkan akses ke, pilih Pengguna, grup, atau perwakilan layanan, lalu pilih + Pilih anggota.

7. Dalam dialog, cari nama pengguna Microsoft Entra Anda (biasanya alamat email user@domain Anda) lalu pilih Pilih di bagian bawah dialog.

8. Pilih Tinjau + tetapkan untuk masuk ke halaman akhir, lalu Tinjau + tetapkan lagi untuk menyelesaikan proses.

Azure CLI

Untuk menetapkan peran di tingkat sumber daya menggunakan Azure CLI, Anda harus terlebih dahulu mengambil ID sumber daya menggunakan az storage account show perintah . Anda dapat memfilter properti output menggunakan parameter --query.

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Salin output Id dari perintah sebelumnya. Anda kemudian dapat menetapkan peran menggunakan perintah az role di Azure CLI.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Queue Data Contributor" \
    --scope "<your-resource-id>"

PowerShell

Untuk menetapkan peran di tingkat sumber daya menggunakan Azure PowerShell, Anda harus terlebih dahulu mengambil ID sumber daya menggunakan Get-AzResource perintah .

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Salin nilai Id dari output perintah sebelumnya. Anda kemudian dapat menetapkan peran menggunakan perintah New-AzRoleAssignment di PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Queue Data Contributor" `
    -Scope <yourStorageAccountId>

Penting

Dalam kebanyakan kasus, akan memakan waktu satu atau dua menit agar penetapan peran disebarluaskan di Azure, tetapi dalam kasus yang jarang terjadi mungkin perlu waktu hingga delapan menit. Jika Anda menerima kesalahan autentikasi saat pertama kali menjalankan kode, tunggu beberapa saat dan coba lagi.

Masuk ke Azure secara lokal

Untuk pengembangan lokal, pastikan Anda diautentikasi dengan akun Microsoft Entra yang sama dengan yang Anda tetapkan perannya. Anda dapat mengautentikasi melalui alat pengembangan populer, seperti Azure CLI atau Azure PowerShell. Alat pengembangan yang dapat Anda autentikasi bervariasi di seluruh bahasa.

Azure CLI

Masuk ke Azure melalui Azure CLI menggunakan perintah berikut:

az login

Visual Studio

Pilih tombol Masuk di kanan atas Visual Studio.

Masuk menggunakan akun Microsoft Entra yang Anda tetapkan perannya sebelumnya.

Visual Studio Code

Anda harus menginstal Azure CLI untuk bekerja dengan DefaultAzureCredential melalui Visual Studio Code.

Di menu utama Visual Studio Code, buka Terminal > Terminal Baru.

Masuk ke Azure melalui Azure CLI menggunakan perintah berikut:

az login

PowerShell

Masuk ke Azure menggunakan PowerShell melalui perintah berikut:

Connect-AzAccount

Memperbarui kode aplikasi untuk menggunakan koneksi tanpa kata sandi

Pustaka klien Azure Identity, untuk setiap ekosistem berikut, menyediakan kelas yang menangani autentikasi DefaultAzureCredential tanpa kata sandi ke Azure:

• .NET
• Go
• Java
• Node.js
• Python

DefaultAzureCredential mendukung beberapa metode autentikasi. Metode yang digunakan ditentukan pada runtime. Pendekatan ini memungkinkan aplikasi Anda menggunakan metode autentikasi yang berbeda di lingkungan yang berbeda (lokal vs. produksi) tanpa menerapkan kode spesifik per lingkungan. Lihat tautan sebelumnya untuk pesanan dan lokasi di mana DefaultAzureCredential mencari kredensial.

.NET

1. Untuk digunakan DefaultAzureCredential dalam aplikasi .NET, instal Azure.Identity paket:

   dotnet add package Azure.Identity
   

2. Di bagian atas file Anda, tambahkan kode berikut:

   using Azure.Identity;
   

3. Identifikasi lokasi dalam kode Anda yang membuat QueueClient objek untuk disambungkan ke Azure Queue Storage. Perbarui kode berikut agar sesuai dengan contoh berikut:

   DefaultAzureCredential credential = new();
   
   QueueClient queueClient = new(
        new Uri($"https://{storageAccountName}.queue.core.windows.net/{queueName}"),
        new DefaultAzureCredential());
   

Go

1. Untuk digunakan DefaultAzureCredential dalam aplikasi Go, instal azidentity modul:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. Di bagian atas file Anda, tambahkan kode berikut:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Identifikasi lokasi dalam kode Anda yang membuat QueueClient instans untuk menyambungkan ke Azure Queue Storage. Perbarui kode berikut agar sesuai dengan contoh berikut:

   cred, err := azidentity.NewDefaultAzureCredential(nil)
   if err != nil {
       // handle error
   }
   
   serviceURL := fmt.Sprintf("https://%s.queue.core.windows.net/", storageAccountName)
   client, err := azqueue.NewQueueClient(serviceURL, cred, nil)
   if err != nil {
       // handle error
   }
   

Java

1. Untuk digunakan DefaultAzureCredential dalam aplikasi Java, instal azure-identity paket melalui salah satu pendekatan berikut:

   1. Sertakan file BOM.
   2. Sertakan dependensi langsung.

2. Di bagian atas file Anda, tambahkan kode berikut:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Identifikasi lokasi dalam kode Anda yang membuat QueueClient objek untuk disambungkan ke Azure Queue Storage. Perbarui kode berikut agar sesuai dengan contoh berikut:

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .build();
   String endpoint = 
       String.format("https://%s.queue.core.windows.net/", storageAccountName);
   
   QueueClient queueClient = new QueueClientBuilder()
       .endpoint(endpoint)
       .queueName(queueName)
       .credential(credential)
       .buildClient();
   

Node.js

1. Untuk digunakan DefaultAzureCredential dalam aplikasi Node.js, instal @azure/identity paket:

   npm install --save @azure/identity
   

2. Di bagian atas file Anda, tambahkan kode berikut:

   import { DefaultAzureCredential } from "@azure/identity";
   

3. Identifikasi lokasi dalam kode Anda yang membuat QueueClient objek untuk disambungkan ke Azure Queue Storage. Perbarui kode berikut agar sesuai dengan contoh berikut:

   const credential = new DefaultAzureCredential();
   
   const queueClient = new QueueClient(
     `https://${storageAccountName}.queue.core.windows.net/${queueName}`,
     credential
   );
   

Python

1. Untuk digunakan DefaultAzureCredential dalam aplikasi Python, instal azure-identity paket:

   pip install azure-identity
   

2. Di bagian atas file Anda, tambahkan kode berikut:

   from azure.identity import DefaultAzureCredential
   

3. Identifikasi lokasi dalam kode Anda yang membuat QueueClient objek untuk disambungkan ke Azure Queue Storage. Perbarui kode berikut agar sesuai dengan contoh berikut:

   credential = DefaultAzureCredential()
   
   queue_client = QueueClient(
       account_url = "https://%s.blob.core.windows.net" % storage_account_name,
       queue_name = queue_name,
       credential = credential
   )
   

4. Pastikan untuk memperbarui nama akun penyimpanan di URI objek Anda QueueClient . Anda dapat menemukan nama akun penyimpanan di halaman gambaran umum portal Azure.

   

Menjalankan aplikasi secara lokal

Setelah menerapkan perubahan kode ini, jalankan aplikasi Anda secara lokal. Konfigurasi baru akan mengambil kredensial lokal Anda, seperti Azure CLI, Visual Studio, atau IntelliJ. Peran yang Anda tetapkan kepada pengguna di Azure memungkinkan aplikasi Anda tersambung ke layanan Azure secara lokal.

Mengonfigurasikan lingkungan hosting Azure

Setelah aplikasi Anda dikonfigurasi untuk menggunakan koneksi tanpa kata sandi dan berjalan secara lokal, kode yang sama dapat mengautentikasi ke layanan Azure setelah disebarkan ke Azure. Bagian berikut menjelaskan cara mengonfigurasi aplikasi yang disebarkan untuk menyambungkan ke Azure Queue Storage menggunakan identitas terkelola. Identitas terkelola memberikan identitas terkelola secara otomatis di Microsoft Entra ID untuk digunakan aplikasi saat menyambung ke sumber daya yang mendukung autentikasi Microsoft Entra. Pelajari selengkapnya tentang identitas terkelola:

• Gambaran Umum Tanpa Kata Sandi
• Praktik terbaik identitas terkelola

Buat identitas terkelola

Anda dapat membuat identitas terkelola yang ditetapkan pengguna menggunakan portal Azure atau Azure CLI. Aplikasi Anda menggunakan identitas untuk mengautentikasi ke layanan lain.

Portal Azure

1. Di bagian atas portal Azure, cari Identitas terkelola. Pilih hasil Identitas Terkelola.
2. Pilih + Buat di bagian atas halaman gambaran umum Identitas Terkelola.
3. Pada tab Dasar , masukkan nilai berikut ini:
   • Langganan: Pilih langganan yang Anda inginkan.
   • Grup Sumber Daya: Pilih grup sumber daya yang Anda inginkan.
   • Wilayah: Pilih wilayah di dekat lokasi Anda.
   • Nama: Masukkan nama yang dapat dikenali untuk identitas Anda, seperti MigrationIdentity.
4. Pilih Tinjau + buat di bagian bawah halaman.
5. Setelah pemeriksaan validasi selesai, pilih Buat. Azure membuat identitas baru yang ditetapkan pengguna.

Setelah sumber daya dibuat, pilih Buka sumber daya untuk melihat detail identitas terkelola.

Azure CLI

Gunakan perintah az identity create untuk membuat identitas terkelola yang ditetapkan pengguna:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Mengaitkan identitas terkelola dengan aplikasi web Anda

Anda perlu mengonfigurasi aplikasi web untuk menggunakan identitas terkelola yang Anda buat. Tetapkan identitas ke aplikasi Anda menggunakan portal Azure atau Azure CLI.

Portal Azure

Selesaikan langkah-langkah berikut di portal Azure untuk mengaitkan identitas dengan aplikasi Anda. Langkah-langkah yang sama ini berlaku untuk layanan Azure berikut ini:

• Azure Spring Apps
• Azure Container Apps
• Komputer virtual Azure
• Azure Kubernetes Service

1. Navigasi ke halaman gambaran umum aplikasi web Anda.

2. Pilih Identitas dari navigasi kiri.

3. Pada halaman Identitas , beralihlah ke tab Pengguna yang ditetapkan.

4. Pilih + Tambahkan untuk membuka flyout Tambahkan identitas terkelola yang ditetapkan pengguna.

5. Pilih langganan yang Anda gunakan sebelumnya untuk membuat identitas.

6. Cari MigrationIdentity menurut nama dan pilih dari hasil pencarian.

7. Pilih Tambahkan untuk mengaitkan identitas dengan aplikasi Anda.

   

Azure CLI

Gunakan perintah Azure CLI berikut untuk mengaitkan identitas dengan aplikasi Anda:

Ambil ID identitas terkelola yang Anda buat menggunakan perintah az identity show . Salin nilai output yang akan digunakan di langkah berikutnya.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

Anda dapat menetapkan identitas terkelola ke instans Azure App Service dengan perintah az webapp identity assign .

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Azure Spring Apps

Anda dapat menetapkan identitas terkelola ke instans Azure Spring Apps dengan perintah az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Azure Container Apps

Anda dapat menetapkan identitas terkelola ke komputer virtual dengan perintah az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Komputer virtual Azure

Anda dapat menetapkan identitas terkelola ke komputer virtual dengan perintah az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Azure Kubernetes Service

Anda dapat menetapkan identitas terkelola ke instans Azure Kubernetes Service (AKS) dengan perintah az aks update .

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Konektor Layanan

Anda dapat menggunakan Konektor Layanan untuk membuat koneksi antara lingkungan hosting komputasi Azure dan layanan target menggunakan Azure CLI. Perintah Konektor Layanan CLI secara otomatis menetapkan peran yang tepat ke identitas Anda. Anda dapat mempelajari selengkapnya tentang Konektor Layanan dan skenario mana yang didukung di halaman gambaran umum.

1. Ambil ID klien identitas terkelola yang Anda buat menggunakan az identity show perintah . Salin nilai untuk digunakan nanti.

   az identity show \
       --name MigrationIdentity \
       --resource-group <your-resource-group> \
       --query clientId
   

2. Gunakan perintah CLI yang sesuai untuk membuat koneksi layanan:

   Azure App Service

   Jika Anda menggunakan Azure App Service, gunakan perintah az webapp connection :

   az webapp connection create storage-queue \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Jika Anda menggunakan Azure Spring Apps, gunakan perintah az spring-cloud connection :

   az spring-cloud connection create storage-queue \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Container Apps

   Jika Anda menggunakan Azure Container Apps, gunakan perintah az containerapp connection :

   az containerapp connection create storage-queue \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Menetapkan peran ke identitas terkelola

Selanjutnya, Anda perlu memberikan izin ke identitas terkelola yang dibuat untuk mengakses akun penyimpanan. Berikan izin dengan menetapkan peran ke identitas terkelola, seperti yang Anda lakukan dengan pengguna pengembangan lokal Anda.

Portal Azure

1. Buka halaman gambaran umum akun penyimpanan dan pilih Kontrol Akses (IAM) dari navigasi kiri.

2. Pilih Tambahkan penetapan peran

   

3. Dalam kotak pencarian Peran , cari Kontributor Data Antrean Penyimpanan, yang merupakan peran umum yang digunakan untuk mengelola operasi data untuk antrean. Anda dapat menetapkan peran apa pun yang sesuai untuk kasus penggunaan Anda. Pilih Kontributor Data Antrean Penyimpanan dari daftar dan pilih Berikutnya.

4. Di layar Tambahkan penetapan peran, untuk opsi Tetapkan akses ke, pilih Identitas terkelola. Lalu, pilih +Pilih anggota.

5. Di flyout, cari identitas terkelola yang Anda buat berdasarkan nama dan pilih dari hasilnya. Pilih Pilih untuk menutup menu flyout.

   

6. Pilih Berikutnya beberapa kali hingga Anda dapat memilih Tinjau + tetapkan untuk menyelesaikan penetapan peran.

Azure CLI

Untuk menetapkan peran di tingkat sumber daya menggunakan Azure CLI, Anda harus terlebih dahulu mengambil ID sumber daya menggunakan perintah az storage account show. Anda dapat memfilter properti output menggunakan parameter --query.

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Salin output ID dari perintah sebelumnya. Anda kemudian dapat menetapkan peran menggunakan perintah penetapan peran az dari Azure CLI.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Queue Data Contributor" \
    --scope "<your-resource-id>"

Konektor Layanan

Jika Anda menyambungkan layanan menggunakan Konektor Layanan, Anda tidak perlu menyelesaikan langkah ini. Konfigurasi peran yang diperlukan ditangani untuk Anda saat Anda menjalankan perintah Service Connector CLI.

Memperbarui kode aplikasi

Anda perlu mengonfigurasi kode aplikasi untuk mencari identitas terkelola tertentu yang Anda buat saat disebarkan ke Azure. Dalam beberapa skenario, secara eksplisit mengatur identitas terkelola untuk aplikasi juga mencegah identitas lingkungan lain terdeteksi dan digunakan secara otomatis.

1. Pada halaman gambaran umum identitas terkelola, salin nilai ID klien ke clipboard Anda.

2. Terapkan perubahan khusus bahasa berikut:

   .NET

   Buat DefaultAzureCredentialOptions objek dan teruskan ke DefaultAzureCredential. Atur properti ManagedIdentityClientId ke ID klien.

   DefaultAzureCredential credential = new(
       new DefaultAzureCredentialOptions
       {
           ManagedIdentityClientId = managedIdentityClientId
       });
   

   Go

   Atur AZURE_CLIENT_ID variabel lingkungan ke ID klien identitas terkelola. DefaultAzureCredential membaca variabel lingkungan ini.

   Java

   Panggil metode managedIdentityClientId. Teruskan ID klien ke dalamnya.

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .managedIdentityClientId(managedIdentityClientId)
       .build();
   

   Node.js

   Buat DefaultAzureCredentialClientIdOptions objek dengan properti managedIdentityClientId yang diatur ke ID klien. Teruskan objek tersebut ke DefaultAzureCredential konstruktor.

   const credential = new DefaultAzureCredential({
     managedIdentityClientId
   });
   

   Python

   Atur DefaultAzureCredential parameter managed_identity_client_id konstruktor ke ID klien.

   credential = DefaultAzureCredential(
       managed_identity_client_id = managed_identity_client_id
   )
   

3. Sebarkan ulang kode Anda ke Azure setelah melakukan perubahan ini agar pembaruan konfigurasi diterapkan.

Menguji aplikasi

Setelah menyebarkan kode yang diperbarui, telusuri ke aplikasi yang dihosting di browser. Aplikasi Anda harus berhasil terhubung ke akun penyimpanan. Perlu diingat bahwa mungkin perlu waktu beberapa menit agar penetapan peran disebarkan melalui lingkungan Azure Anda. Aplikasi Anda kini dikonfigurasikan untuk berjalan baik secara lokal maupun di lingkungan produksi tanpa pengembang harus mengelola rahasia dalam aplikasi itu sendiri.

Langkah berikutnya

Dalam tutorial ini, Anda belajar cara memigrasikan aplikasi ke koneksi tanpa kata sandi.

Anda dapat membaca sumber daya berikut untuk menjelajahi konsep yang dibahas dalam artikel ini secara lebih mendalam:

• Mengotorisasi akses ke blob menggunakan ID Microsoft Entra
• Untuk mempelajari selengkapnya tentang .NET, lihat Mulai menggunakan .NET dalam 10 menit.