Een toepassing migreren voor het gebruik van verbindingen zonder wachtwoord met Azure Blob Storage

Toepassingsaanvragen voor Azure-services moeten worden geverifieerd met behulp van configuraties zoals toegangssleutels voor accounts of verbindingen zonder wachtwoord. U moet echter waar mogelijk prioriteit geven aan verbindingen zonder wachtwoord in uw toepassingen. Traditionele verificatiemethoden die gebruikmaken van wachtwoorden of geheime sleutels maken beveiligingsrisico's en complicaties. Ga naar de verbindingen zonder wachtwoord voor Azure Services Hub voor meer informatie over de voordelen van het verplaatsen naar verbindingen zonder wachtwoord.

In de volgende zelfstudie wordt uitgelegd hoe u een bestaande toepassing migreert om verbinding te maken met behulp van verbindingen zonder wachtwoord. Dezelfde migratiestappen moeten van toepassing zijn, ongeacht of u toegangssleutels, verbindingsreeks s of een andere benadering op basis van geheimen gebruikt.

Rollen en gebruikers configureren voor lokale ontwikkelingsverificatie

Zorg er bij het lokaal ontwikkelen voor dat het gebruikersaccount dat toegang heeft tot blobgegevens over de juiste machtigingen beschikt. U hebt Inzender voor Opslagblobgegevens nodig om blobgegevens te lezen en schrijven. Als u uzelf deze rol wilt toewijzen, moet u de rol Gebruikerstoegang Beheer istrator of een andere rol met de actie Microsoft.Authorization/roleAssignments/write toegewezen krijgen. U kunt Azure RBAC-rollen toewijzen aan een gebruiker met behulp van Azure Portal, Azure CLI of Azure PowerShell. Meer informatie over de beschikbare bereiken voor roltoewijzingen vindt u op de overzichtspagina van het bereik.

In dit scenario wijst u machtigingen toe aan uw gebruikersaccount, dat is afgestemd op het opslagaccount, om het principe van minimale bevoegdheden te volgen. Deze procedure biedt gebruikers alleen de minimale machtigingen die nodig zijn en maakt veiligere productieomgevingen.

In het volgende voorbeeld wordt de rol Inzender voor opslagblobgegevens toegewezen aan uw gebruikersaccount, dat zowel lees- als schrijftoegang biedt tot blobgegevens in uw opslagaccount.

Belangrijk

In de meeste gevallen duurt het een of twee minuten voordat de roltoewijzing is doorgegeven in Azure, maar in zeldzame gevallen kan het maximaal acht minuten duren. Als u verificatiefouten ontvangt wanneer u de code voor het eerst uitvoert, wacht u even en probeert u het opnieuw.

Azure-portal

1. Zoek uw opslagaccount in Azure Portal met behulp van de hoofdzoekbalk of linkernavigatiebalk.

2. Selecteer op de overzichtspagina van het opslagaccount toegangsbeheer (IAM) in het menu aan de linkerkant.

3. Selecteer op de pagina Toegangsbeheer (IAM) het tabblad Roltoewijzingen .

4. Selecteer + Toevoegen in het bovenste menu en voeg vervolgens roltoewijzing toe in de resulterende vervolgkeuzelijst.

   

5. Gebruik het zoekvak om de resultaten te filteren op de gewenste rol. Zoek in dit voorbeeld naar Inzender voor Opslagblobgegevens en selecteer het overeenkomende resultaat en kies vervolgens Volgende.

6. Selecteer onder Toegang toewijzen de optie Gebruiker, groep of service-principal en kies vervolgens + Leden selecteren.

7. Zoek in het dialoogvenster naar uw Microsoft Entra-gebruikersnaam (meestal uw user@domain e-mailadres) en kies Vervolgens onderaan het dialoogvenster Selecteren .

8. Selecteer Beoordelen + toewijzen om naar de laatste pagina te gaan en vervolgens opnieuw beoordelen en toewijzen om het proces te voltooien.

Azure-CLI

Als u een rol wilt toewijzen op resourceniveau met behulp van de Azure CLI, moet u eerst de resource-id ophalen met behulp van de az storage account show opdracht. U kunt de uitvoereigenschappen filteren met behulp van de --query parameter.

az storage account show --resource-group '<your-resource-group-name>' --name '<your-storage-account-name>' --query id

Kopieer de uitvoer Id van de voorgaande opdracht. Vervolgens kunt u rollen toewijzen met behulp van de az-rolopdracht van de Azure CLI.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

PowerShell

Als u een rol wilt toewijzen op resourceniveau met behulp van Azure PowerShell, moet u eerst de resource-id ophalen met behulp van de Get-AzResource opdracht.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Kopieer de Id waarde uit de voorgaande opdrachtuitvoer. Vervolgens kunt u rollen toewijzen met behulp van de opdracht New-AzRoleAssignment in PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope <yourStorageAccountId>

Aanmelden en de app-code migreren om wachtwoordloze verbindingen te gebruiken

Zorg ervoor dat u voor lokale ontwikkeling bent geverifieerd met hetzelfde Microsoft Entra-account waaraan u de rol hebt toegewezen. U kunt zich verifiëren via populaire ontwikkelhulpprogramma's, zoals de Azure CLI of Azure PowerShell. De ontwikkelhulpprogramma's waarmee u zich kunt verifiëren, variëren per taal.

Azure-CLI

Meld u aan bij Azure via de Azure CLI met behulp van de volgende opdracht:

az login

Visual Studio

Selecteer de knop Aanmelden in de rechterbovenhoek van Visual Studio.

Meld u aan met het Microsoft Entra-account waaraan u eerder een rol hebt toegewezen.

Visual Studio Code

U moet de Azure CLI installeren om mee DefaultAzureCredential te werken via Visual Studio Code.

Navigeer in het hoofdmenu van Visual Studio Code naar Terminal > New Terminal.

Meld u aan bij Azure via de Azure CLI met behulp van de volgende opdracht:

az login

PowerShell

Meld u aan bij Azure met behulp van PowerShell via de volgende opdracht:

Connect-AzAccount

Werk vervolgens uw code bij voor het gebruik van verbindingen zonder wachtwoord.

.NET

1. Als u wilt gebruiken DefaultAzureCredential in een .NET-toepassing, installeert u het Azure.Identity pakket:

   dotnet add package Azure.Identity
   

2. Voeg boven aan het bestand de volgende code toe:

   using Azure.Identity;
   

3. Identificeer de locaties in uw code die een BlobServiceClient verbinding maken met Azure Blob Storage. Werk uw code bij zodat deze overeenkomt met het volgende voorbeeld:

   DefaultAzureCredential credential = new();
   
   BlobServiceClient blobServiceClient = new(
       new Uri($"https://{storageAccountName}.blob.core.windows.net"),
       credential);
   

Go

1. Als u wilt gebruiken DefaultAzureCredential in een Go-toepassing, installeert u de azidentity module:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. Voeg boven aan het bestand de volgende code toe:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Identificeer de locaties in uw code die een Client exemplaar maken om verbinding te maken met Azure Blob Storage. Werk uw code bij zodat deze overeenkomt met het volgende voorbeeld:

   cred, err := azidentity.NewDefaultAzureCredential(nil)
   if err != nil {
       // handle error
   }
   
   serviceURL := fmt.Sprintf("https://%s.blob.core.windows.net", storageAccountName)
   client, err := azblob.NewClient(serviceURL, cred, nil)
   if err != nil {
       // handle error
   }
   

Java

1. Als u het pakket wilt gebruiken DefaultAzureCredential in een Java-toepassing, installeert u het azure-identity pakket op een van de volgende manieren:

   1. Neem het BOM-bestand op.
   2. Neem een directe afhankelijkheid op.

2. Voeg boven aan het bestand de volgende code toe:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Identificeer de locaties in uw code die een BlobServiceClient object maken om verbinding te maken met Azure Blob Storage. Werk uw code bij zodat deze overeenkomt met het volgende voorbeeld:

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .build();
   String endpoint = 
       String.format("https://%s.blob.core.windows.net", storageAccountName);
   
   BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
       .endpoint(endpoint)
       .credential(credential)
       .buildClient();
   

Node.js

1. Als u wilt gebruiken DefaultAzureCredential in een Node.js-toepassing, installeert u het @azure/identity pakket:

   npm install --save @azure/identity
   

2. Voeg boven aan het bestand de volgende code toe:

   import { DefaultAzureCredential } from "@azure/identity";
   

3. Identificeer de locaties in uw code die een BlobServiceClient object maken om verbinding te maken met Azure Blob Storage. Werk uw code bij zodat deze overeenkomt met het volgende voorbeeld:

   const credential = new DefaultAzureCredential();
   
   const blobServiceClient = new BlobServiceClient(
     `https://${storageAccountName}.blob.core.windows.net`,
     credential
   );    
   

Python

1. Als u wilt gebruiken DefaultAzureCredential in een Python-toepassing, installeert u het azure-identity pakket:

   pip install azure-identity
   

2. Voeg boven aan het bestand de volgende code toe:

   from azure.identity import DefaultAzureCredential
   

3. Identificeer de locaties in uw code die een BlobServiceClient object maken om verbinding te maken met Azure Blob Storage. Werk uw code bij zodat deze overeenkomt met het volgende voorbeeld:

   credential = DefaultAzureCredential()
   
   blob_service_client = BlobServiceClient(
       account_url = "https://%s.blob.core.windows.net" % storage_account_name,
       credential = credential
   )
   

4. Zorg ervoor dat u de naam van het opslagaccount bijwerkt in de URI van uw BlobServiceClient. U vindt de naam van het opslagaccount op de overzichtspagina van Azure Portal.

   

De app lokaal uitvoeren

Nadat u deze codewijzigingen hebt aangebracht, voert u uw toepassing lokaal uit. De nieuwe configuratie moet uw lokale referenties ophalen, zoals de Azure CLI, Visual Studio of IntelliJ. Met de rollen die u hebt toegewezen aan uw lokale dev-gebruiker in Azure, kan uw app lokaal verbinding maken met de Azure-service.

De Azure-hostingomgeving configureren

Zodra uw toepassing is geconfigureerd voor het gebruik van verbindingen zonder wachtwoord en lokaal wordt uitgevoerd, kan dezelfde code worden geverifieerd bij Azure-services nadat deze is geïmplementeerd in Azure. In de volgende secties wordt uitgelegd hoe u een geïmplementeerde toepassing configureert om verbinding te maken met Azure Blob Storage met behulp van een beheerde identiteit.

De beheerde identiteit maken

U kunt een door de gebruiker toegewezen beheerde identiteit maken met behulp van Azure Portal of de Azure CLI. Uw toepassing gebruikt de identiteit om te verifiëren bij andere services.

Azure-portal

1. Zoek boven aan Azure Portal naar beheerde identiteiten. Selecteer het resultaat beheerde identiteiten .
2. Selecteer + Maken boven aan de overzichtspagina beheerde identiteiten .
3. Voer op het tabblad Basisinformatie de volgende waarden in:
   • Abonnement: Selecteer uw gewenste abonnement.
   • Resourcegroep: selecteer de gewenste resourcegroep.
   • Regio: Selecteer een regio in de buurt van uw locatie.
   • Naam: Voer een herkenbare naam in voor uw identiteit, zoals MigrationIdentity.
4. Selecteer Controleren en maken onderaan de pagina.
5. Wanneer de validatiecontroles zijn voltooid, selecteert u Maken. Azure maakt een nieuwe door de gebruiker toegewezen identiteit.

Nadat de resource is gemaakt, selecteert u Ga naar de resource om de details van de beheerde identiteit weer te geven.

Azure-CLI

Gebruik de opdracht az identity create om een door de gebruiker toegewezen beheerde identiteit te maken:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

De beheerde identiteit koppelen aan uw web-app

U moet uw web-app configureren voor het gebruik van de beheerde identiteit die u hebt gemaakt. Wijs de identiteit toe aan uw app met behulp van Azure Portal of de Azure CLI.

Azure-portal

Voer de volgende stappen uit in Azure Portal om een identiteit aan uw app te koppelen. Dezelfde stappen zijn van toepassing op de volgende Azure-services:

• Azure Spring Apps
• Azure Container Apps
• Azure-VM's
• Azure Kubernetes Service

1. Navigeer naar de overzichtspagina van uw web-app.

2. Selecteer Identiteit in het linkernavigatievenster.

3. Schakel op de pagina Identiteit over naar het tabblad Door de gebruiker toegewezen .

4. Selecteer + Toevoegen om de flyout Door de gebruiker toegewezen beheerde identiteit toevoegen te openen.

5. Selecteer het abonnement dat u eerder hebt gebruikt om de identiteit te maken.

6. Zoek op naam naar MigrationIdentity en selecteer deze in de zoekresultaten.

7. Selecteer Toevoegen om de identiteit aan uw app te koppelen.

   

Azure-CLI

Gebruik de volgende Azure CLI-opdrachten om een identiteit te koppelen aan uw app:

Haal de id op van de beheerde identiteit die u hebt gemaakt met behulp van de opdracht az identity show . Kopieer de uitvoerwaarde die u in de volgende stap wilt gebruiken.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

U kunt een beheerde identiteit toewijzen aan een Azure-app Service-exemplaar met de opdracht az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Azure Spring Apps

U kunt een beheerde identiteit toewijzen aan een Azure Spring Apps-exemplaar met de opdracht az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Azure Container Apps

U kunt een beheerde identiteit toewijzen aan een virtuele machine met de opdracht az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Virtuele machines van Azure

U kunt een beheerde identiteit toewijzen aan een virtuele machine met de opdracht az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Azure Kubernetes Service

U kunt een beheerde identiteit toewijzen aan een AKS-exemplaar (Azure Kubernetes Service) met de opdracht az aks update .

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Service Verbinding maken or

U kunt Service Verbinding maken or gebruiken om een verbinding te maken tussen een Azure Compute-hostingomgeving en een doelservice met behulp van de Azure CLI. De cli-opdrachten van de service Verbinding maken or wijzen automatisch de juiste rol toe aan uw identiteit. Meer informatie over Service Verbinding maken or en welke scenario's worden ondersteund op de overzichtspagina.

1. Haal de client-id op van de beheerde identiteit die u hebt gemaakt met behulp van de az identity show opdracht. Kopieer de waarde voor later gebruik.

   az identity show --name MigrationIdentity --resource-group <your-resource-group> --query clientId
   

2. Gebruik de juiste CLI-opdracht om de serviceverbinding tot stand te brengen:

   Azure App Service

   Als u een Azure-app Service gebruikt, gebruikt u de opdracht az webapp connection:

   az webapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Als u Azure Spring Apps gebruikt, gebruikt u de opdracht az spring-cloud connection :

   az spring-cloud connection create storage-blob \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Container Apps

   Als u Azure Container Apps gebruikt, gebruikt u de opdracht az containerapp connection :

   az containerapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Rollen toewijzen aan de beheerde identiteit

Vervolgens moet u machtigingen verlenen aan de beheerde identiteit die u hebt gemaakt voor toegang tot uw opslagaccount. Verken machtigingen door een rol toe te wijzen aan de beheerde identiteit, net als bij uw lokale ontwikkelgebruiker.

Azure-portal

1. Navigeer naar de overzichtspagina van uw opslagaccount en selecteer Toegangsbeheer (IAM) in het linkernavigatievenster.

2. Roltoewijzing toevoegen kiezen

   

3. Zoek in het zoekvak voor rollen naar Inzender voor opslagblobgegevens. Dit is een algemene rol die wordt gebruikt voor het beheren van gegevensbewerkingen voor blobs. U kunt elke rol toewijzen die geschikt is voor uw use-case. Selecteer de bijdrager voor opslagblobgegevens in de lijst en kies Volgende.

4. Selecteer beheerde identiteit in het scherm Roltoewijzing toevoegen voor de optie Toegang toewijzen aan. Kies vervolgens +Leden selecteren.

5. Zoek in de flyout naar de beheerde identiteit die u op naam hebt gemaakt en selecteer deze in de resultaten. Kies Selecteren om het flyoutmenu te sluiten.

   

6. Selecteer Volgende een paar keer totdat u Controleren en toewijzen kunt selecteren om de roltoewijzing te voltooien.

Azure-CLI

Als u een rol wilt toewijzen op resourceniveau met behulp van de Azure CLI, moet u eerst de resource-id ophalen met behulp van de opdracht az storage account show. U kunt de uitvoereigenschappen filteren met behulp van de --query parameter.

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Kopieer de uitvoer-id van de voorgaande opdracht. U kunt vervolgens rollen toewijzen met behulp van de opdracht az-roltoewijzing van de Azure CLI.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Service Verbinding maken or

Als u uw services hebt verbonden met service Verbinding maken of u deze stap niet hoeft te voltooien. De benodigde rolconfiguraties zijn voor u verwerkt tijdens het uitvoeren van de opdrachten van de Service Verbinding maken or CLI.

De toepassingscode bijwerken

U moet uw toepassingscode configureren om te zoeken naar de specifieke beheerde identiteit die u hebt gemaakt tijdens de implementatie in Azure. In sommige scenario's voorkomt het expliciet instellen van de beheerde identiteit voor de app dat andere omgevingsidentiteiten per ongeluk worden gedetecteerd en automatisch worden gebruikt.

1. Kopieer op de overzichtspagina van de beheerde identiteit de waarde van de client-id naar het klembord.

2. Pas de volgende taalspecifieke wijzigingen toe:

   .NET

   Maak een DefaultAzureCredentialOptions object en geef het door aan DefaultAzureCredential. Stel de eigenschap ManagedIdentityClientId in op de client-id.

   DefaultAzureCredential credential = new(
       new DefaultAzureCredentialOptions
       {
           ManagedIdentityClientId = managedIdentityClientId
       });
   

   Go

   Stel de AZURE_CLIENT_ID omgevingsvariabele in op de client-id van de beheerde identiteit. DefaultAzureCredential leest deze omgevingsvariabele.

   Java

   Roep de methode managedIdentityClientId aan. Geef de client-id door aan de client.

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .managedIdentityClientId(managedIdentityClientId)
       .build();
   

   Node.js

   Maak een DefaultAzureCredentialClientIdOptions object met de eigenschap managedIdentityClientId ingesteld op de client-id. Geef dat object door aan de DefaultAzureCredential constructor.

   const credential = new DefaultAzureCredential({
     managedIdentityClientId
   });
   

   Python

   Stel de managed_identity_client_id parameter van de DefaultAzureCredential constructor in op de client-id.

   credential = DefaultAzureCredential(
       managed_identity_client_id = managed_identity_client_id
   )
   

3. Implementeer uw code opnieuw in Azure nadat u deze wijziging hebt aangebracht om de configuratie-updates toe te passen.

De app testen

Nadat u de bijgewerkte code hebt geïmplementeerd, bladert u naar uw gehoste toepassing in de browser. Uw app moet verbinding kunnen maken met het opslagaccount. Houd er rekening mee dat het enkele minuten kan duren voordat de roltoewijzingen zijn doorgegeven via uw Azure-omgeving. Uw toepassing is nu geconfigureerd om zowel lokaal als in een productieomgeving uit te voeren zonder dat de ontwikkelaars geheimen in de toepassing zelf hoeven te beheren.

Volgende stappen

In deze zelfstudie hebt u geleerd hoe u een toepassing migreert naar verbindingen zonder wachtwoord.

U kunt de volgende bronnen lezen om de concepten die in dit artikel worden besproken, uitgebreider te verkennen:

• Toegang tot blobs autoriseren met behulp van Microsoft Entra-id
• Zie voor meer informatie over .NET Core Aan de slag met .NET in 10 minuten.