Connettere funzioni ai servizi di Azure
Come procedura consigliata per la sicurezza, Funzioni di Azure sfrutta le funzionalità delle impostazioni dell'applicazione del servizio app di Azure per consentire di archiviare in modo più sicuro stringhe, chiavi e altri token necessari per connettersi ad altri servizi. Le impostazioni dell'applicazione in Azure vengono archiviate crittografate e accessibili in fase di esecuzione dall'app come coppie di variabili namevalue di ambiente. Per i trigger e le associazioni che richiedono una proprietà di connessione, impostare il nome dell'impostazione dell'applicazione anziché la stringa di connessione effettiva. Non è possibile configurare un'associazione direttamente con una stringa di connessione o una chiave.
Il provider di configurazione predefinito usa variabili di ambiente. Queste variabili vengono definite nelle impostazioni dell'applicazione durante l'esecuzione in Azure e nel file delle impostazioni locali durante lo sviluppo in locale.
Configurare una connessione basata sull'identità
Alcune connessioni in Funzioni di Azure sono configurate per l'uso di un'identità anziché di un segreto. Il supporto dipende dall'estensione che usa la connessione. In alcuni casi, una stringa di connessione potrebbe essere ancora necessaria in Funzioni anche se il servizio a cui ci si connette supporta connessioni basate su identità.
Nota
Un'app in esecuzione in un piano Consumption o Elastic Premium utilizza le impostazioni WEBSITE_AZUREFILESCONNECTIONSTRING e WEBSITE_CONTENTSHARE quando si connette a Azure Files sull'account di archiviazione utilizzato dalla tua app per le funzioni. File di Azure non supporta l'uso dell'identità gestita quando si accede alla condivisione file.
Quando sono ospitate nel servizio Azure Functions, le connessioni basate su identità usano una identità gestita. Per impostazione predefinita, viene usata l’identità assegnata a livello di sistema, ma è comunque possibile specificare un’identità assegnata dall’utente a cui siano associate le proprietà credential e clientID. La configurazione di un'identità assegnata dall'utente con un ID risorsa non è supportata. Quando viene eseguita in altri contesti, ad esempio lo sviluppo locale, viene usata l'identità dello sviluppatore, anche se può essere personalizzata.
Concedere l'autorizzazione all'identità
Le identità devono avere le autorizzazioni necessarie per eseguire le azioni previste. Questa operazione viene in genere eseguita assegnando un ruolo nel controllo degli accessi in base al ruolo di Azure o specificando l'identità in un criterio di accesso a seconda del servizio a cui ci si connette.
Importante
Il servizio di destinazione potrebbe esporre alcune autorizzazioni non necessarie per tutti i contesti. Laddove possibile, rispettare il principio dei privilegi minimi e concedere all’identità solo i privilegi necessari.