Disabilitare l'autenticazione della chiave di accesso per un'istanza di configurazione app Azure

Ogni richiesta a una risorsa di configurazione app Azure deve essere autenticata. Per impostazione predefinita, le richieste possono essere autenticate con le credenziali di Microsoft Entra o usando una chiave di accesso. Di questi due tipi di schemi di autenticazione, Microsoft Entra ID offre sicurezza e facilità di utilizzo superiori rispetto alle chiavi di accesso ed è consigliato da Microsoft. Per richiedere ai client di usare Microsoft Entra ID per autenticare le richieste, è possibile disabilitare l'utilizzo delle chiavi di accesso per una risorsa di configurazione app Azure.

Quando si disabilita l'autenticazione della chiave di accesso per una risorsa di configurazione app Azure, tutte le chiavi di accesso esistenti per tale risorsa vengono eliminate. Tutte le richieste successive alla risorsa che usano le chiavi di accesso esistenti in precedenza verranno rifiutate. Solo le richieste autenticate con l'ID Microsoft Entra avranno esito positivo. Per altre informazioni sull'uso di Microsoft Entra ID, vedere Autorizzare l'accesso alla configurazione di app Azure tramite Microsoft Entra ID.

Disabilitare l'autenticazione della chiave di accesso

La disabilitazione dell'autenticazione della chiave di accesso eliminerà tutte le chiavi di accesso. Se le applicazioni in esecuzione usano chiavi di accesso per l'autenticazione, inizieranno a non riuscire una volta disabilitata l'autenticazione della chiave di accesso. L'abilitazione dell'autenticazione con chiave di accesso genererà di nuovo un nuovo set di chiavi di accesso e tutte le applicazioni che tentano di usare le chiavi di accesso precedenti avranno comunque esito negativo.

Avviso

Se i client accedono attualmente ai dati nella risorsa di configurazione app Azure con chiavi di accesso, Microsoft consiglia di eseguire la migrazione di tali client all'ID Microsoft Entra prima di disabilitare l'autenticazione della chiave di accesso.

Azure portal

Per impedire l'autenticazione della chiave di accesso per una risorsa di configurazione app Azure nel portale di Azure, seguire questa procedura:

1. Passare alla risorsa di configurazione app Azure nella portale di Azure.

2. Individuare l'impostazione Impostazioni di accesso in Impostazioni.

   

3. Impostare l'interruttore Abilita chiavi di accesso su Disabilitato.

   

Interfaccia della riga di comando di Azure

La funzionalità di disabilitare l'autenticazione della chiave di accesso usando l'interfaccia della riga di comando di Azure è in fase di sviluppo.

Verificare che l'autenticazione della chiave di accesso sia disabilitata

Per verificare che l'autenticazione della chiave di accesso non sia più consentita, è possibile inviare una richiesta per elencare le chiavi di accesso per la risorsa di configurazione app Azure. Se l'autenticazione della chiave di accesso è disabilitata, non saranno presenti chiavi di accesso e l'operazione di elenco restituirà un elenco vuoto.

Azure portal

Per verificare che l'autenticazione della chiave di accesso sia disabilitata per una risorsa di configurazione app Azure nella portale di Azure, seguire questa procedura:

1. Passare alla risorsa di configurazione app Azure nella portale di Azure.

2. Individuare l'impostazione Impostazioni di accesso in Impostazioni.

   

3. Verificare che non siano visualizzate chiavi di accesso e abilitare i tastidi scelta su Disabilitato.

   

Interfaccia della riga di comando di Azure

Per verificare che l'autenticazione della chiave di accesso sia disabilitata per una risorsa di configurazione app Azure nel portale di Azure, usare il comando seguente. Il comando elenca le chiavi di accesso per una risorsa di configurazione app Azure e se l'autenticazione della chiave di accesso è disabilitata, l'elenco sarà vuoto.

az appconfig credential list \
    --name <app-configuration-name> \
    --resource-group <resource-group>

Se l'autenticazione della chiave di accesso è disabilitata, verrà restituito un elenco vuoto.

C:\Users\User>az appconfig credential list -g <resource-group> -n <app-configuration-name>
[]

Autorizzazioni per consentire o impedire l'autenticazione della chiave di accesso

Per modificare lo stato di autenticazione della chiave di accesso per una risorsa di configurazione app Azure, un utente deve disporre delle autorizzazioni per creare e gestire le risorse di configurazione app Azure. I ruoli di controllo degli accessi in base al ruolo di Azure che forniscono queste autorizzazioni includono l'azione Microsoft.AppConfiguration/configurationStores/write o Microsoft.AppConfiguration/configurationStores/* . I ruoli predefiniti con questa azione includono:

• Il ruolo di Proprietario Azure Resource Manager
• Il ruolo di Collaboratore Azure Resource Manager

Questi ruoli non forniscono l'accesso ai dati in una risorsa di configurazione app Azure tramite Microsoft Entra ID. Tuttavia, includono l'autorizzazione dell'azione Microsoft.AppConfiguration/configurationStores/listKeys/action , che concede l'accesso alle chiavi di accesso della risorsa. Con questa autorizzazione, un utente può usare le chiavi di accesso per accedere a tutti i dati nella risorsa.

Le assegnazioni di ruolo devono essere definite come ambito al livello della risorsa di configurazione app Azure o superiore per consentire a un utente di consentire o impedire l'autenticazione della chiave di accesso per la risorsa. Per altre informazioni sull'ambito del ruolo, vedere Informazioni sull'ambito per il controllo degli accessi in base al ruolo di Azure.

Prestare attenzione a limitare l'assegnazione di questi ruoli solo agli utenti che richiedono la possibilità di creare una risorsa Configurazione app o aggiornarne le proprietà. Usare il principio dei privilegi minimi per assicurarsi che gli utenti abbiano le autorizzazioni minime necessarie per eseguire le attività. Per altre informazioni sulla gestione dell'accesso con il controllo degli accessi in base al ruolo di Azure, vedere Procedure consigliate per il controllo degli accessi in base al ruolo di Azure.

Nota

I ruoli di amministratore della sottoscrizione classica Amministratore del servizio e Coamministratore includono l'equivalente del ruolo di Proprietario di Azure Resource Manager. Il ruolo Proprietario include tutte le azioni, quindi un utente con uno di questi ruoli amministrativi può anche creare e gestire Configurazione app risorse. Per altre informazioni, vedere Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica.

Nota

Quando l'autenticazione della chiave di accesso è disabilitata e la modalità di autenticazione ARM di Configurazione app archivio è locale, anche la funzionalità di lettura/scrittura dei valori chiave in un modello di Resource Manager verrà disabilitata. Ciò è dovuto al fatto che l'accesso alla risorsa Microsoft.AppConfiguration/configurationStores/keyValues usata nei modelli arm richiede l'autenticazione della chiave di accesso con la modalità di autenticazione arm locale. È consigliabile usare la modalità di autenticazione ARM pass-through. Per altre informazioni, vedere Panoramica della distribuzione.

Passaggi successivi

• Usare chiavi gestite dal cliente per crittografare i dati Configurazione app
• Uso di endpoint privati per la configurazione di app Azure