Migrowanie aplikacji do używania połączeń bez hasła z usługą Azure Service Bus

Żądania aplikacji do usługi Azure Service Bus muszą być uwierzytelniane przy użyciu kluczy dostępu do konta lub połączeń bez hasła. Jednak w miarę możliwości należy określić priorytety połączeń bez hasła w aplikacjach. W tym samouczku przedstawiono sposób migracji z tradycyjnych metod uwierzytelniania do bezpieczniejszych połączeń bez hasła.

Zagrożenia bezpieczeństwa skojarzone z kluczami dostępu

W poniższym przykładzie kodu pokazano, jak nawiązać połączenie z usługą Azure Service Bus przy użyciu parametry połączenia zawierającego klucz dostępu. Podczas tworzenia usługi Service Bus platforma Azure generuje te klucze i automatycznie parametry połączenia. Wielu deweloperów gravitate w kierunku tego rozwiązania, ponieważ czuje się znajome opcje, z którymi pracowali w przeszłości. Jeśli aplikacja używa obecnie parametry połączenia, rozważ migrację do połączeń bez hasła, wykonując kroki opisane w tym dokumencie.

.NET

await using ServiceBusClient client = new("<CONNECTION-STRING>");

Przejdź

client, err := azservicebus.NewClientFromConnectionString(
    "<CONNECTION-STRING>",
    nil)

if err != nil {
    // handle error
}

Java

JMS:

ConnectionFactory factory = new ServiceBusJmsConnectionFactory(
    "<CONNECTION-STRING>",
    new ServiceBusJmsConnectionFactorySettings());

Klient odbiorcy:

ServiceBusReceiverClient receiver = new ServiceBusClientBuilder()
    .connectionString("<CONNECTION-STRING>")
    .receiver()
    .topicName("<TOPIC-NAME>")
    .subscriptionName("<SUBSCRIPTION-NAME>")
    .buildClient();

Klient nadawcy:

ServiceBusSenderClient client = new ServiceBusClientBuilder()
    .connectionString("<CONNECTION-STRING>")
    .sender()
    .queueName("<QUEUE-NAME>")
    .buildClient();

Node.js

const client = new ServiceBusClient("<CONNECTION-STRING>");

Python

client = ServiceBusClient(
    fully_qualified_namespace = "<CONNECTION-STRING>"
)

Ciągi Połączenie ion powinny być używane z ostrożnością. Deweloperzy muszą być sumienni, aby nigdy nie ujawniać kluczy w niezabezpieczonej lokalizacji. Każdy, kto uzyskuje dostęp do klucza, może się uwierzytelnić. Jeśli na przykład klucz konta zostanie przypadkowo zaewidencjonowany w kontroli źródła, wysłany za pośrednictwem niezabezpieczonej wiadomości e-mail, wklejony do nieprawidłowego czatu lub wyświetlony przez osobę, która nie powinna mieć uprawnień, istnieje ryzyko, że złośliwy użytkownik uzyskuje dostęp do aplikacji. Zamiast tego rozważ zaktualizowanie aplikacji w celu korzystania z połączeń bez hasła.

Migrowanie do połączeń bez hasła

Wiele usług platformy Azure obsługuje połączenia bez hasła za pośrednictwem usługi Microsoft Entra ID i kontroli dostępu opartej na rolach (RBAC). Te techniki zapewniają niezawodne funkcje zabezpieczeń i można ich zaimplementować za pomocą DefaultAzureCredential bibliotek klienckich usługi Azure Identity.

Ważne

Niektóre języki muszą implementować DefaultAzureCredential jawnie w kodzie, a inne wykorzystują DefaultAzureCredential wewnętrznie za pośrednictwem bazowych wtyczek lub sterowników.

DefaultAzureCredential obsługuje wiele metod uwierzytelniania i automatycznie określa, które powinny być używane w czasie wykonywania. Takie podejście umożliwia aplikacji używanie różnych metod uwierzytelniania w różnych środowiskach (lokalnych deweloperów i produkcji) bez implementowania kodu specyficznego dla środowiska.

Kolejność i lokalizacje, w których DefaultAzureCredential można wyszukiwać poświadczenia, można znaleźć w przeglądzie biblioteki tożsamości platformy Azure i różni się w zależności od języków. Na przykład podczas pracy lokalnej z platformą .NET DefaultAzureCredential zazwyczaj uwierzytelnia się przy użyciu konta, które deweloper użył do logowania się do programu Visual Studio, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Po wdrożeniu aplikacji na platformie Azure DefaultAzureCredential automatycznie odnajduje i używa tożsamości zarządzanej skojarzonej usługi hostingu, takiej jak usługa aplikacja systemu Azure Service. Do tego przejścia nie są wymagane żadne zmiany kodu.

Uwaga

Tożsamość zarządzana zapewnia tożsamość zabezpieczeń reprezentującą aplikację lub usługę. Tożsamość jest zarządzana przez platformę Azure i nie wymaga aprowizacji ani rotacji żadnych wpisów tajnych. Więcej informacji na temat tożsamości zarządzanych można uzyskać w dokumentacji przeglądu .

W poniższym przykładzie kodu pokazano, jak nawiązać połączenie z usługą Service Bus przy użyciu połączeń bez hasła. W następnej sekcji opisano sposób migracji do tej konfiguracji dla określonej usługi bardziej szczegółowo.

Aplikacja .NET może przekazać wystąpienie DefaultAzureCredential klasy klienta usługi do konstruktora. DefaultAzureCredential program automatycznie odnajduje poświadczenia, które są dostępne w tym środowisku.

ServiceBusClient serviceBusClient = new(
    new Uri($"https://{serviceBusNamespace}.blob.core.windows.net"),
    new DefaultAzureCredential());

Procedura migracji aplikacji w celu korzystania z uwierzytelniania bez hasła

W poniższych krokach opisano sposób migrowania istniejącej aplikacji w celu używania połączeń bez hasła zamiast rozwiązania opartego na kluczach. Najpierw skonfigurujesz lokalne środowisko programistyczne, a następnie zastosujesz te pojęcia do środowiska hostingu aplikacji platformy Azure. Te same kroki migracji należy wykonać niezależnie od tego, czy używasz kluczy dostępu bezpośrednio, czy za pośrednictwem parametry połączenia.

Konfigurowanie ról i użytkowników na potrzeby uwierzytelniania programowania lokalnego

Podczas tworzenia aplikacji lokalnie upewnij się, że konto użytkownika, które uzyskuje dostęp do usługi Service Bus, ma odpowiednie uprawnienia. W tym przykładzie użyjesz roli Właściciel danych usługi Azure Service Bus do wysyłania i odbierania danych, choć są również dostępne bardziej szczegółowe role. Aby przypisać sobie tę rolę, musisz przypisać rolę Administracja istratora dostępu użytkowników lub inną rolę obejmującą akcję Microsoft.Authorization/roleAssignments/write. Role RBAC platformy Azure można przypisać użytkownikowi przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Więcej informacji na temat dostępnych zakresów przypisań ról można znaleźć na stronie przeglądu zakresu.

W tym scenariuszu przypiszesz uprawnienia do konta użytkownika o określonym zakresie do określonej przestrzeni nazw usługi Service Bus, aby postępować zgodnie z zasadą najniższych uprawnień. Ta praktyka zapewnia użytkownikom tylko minimalne wymagane uprawnienia i tworzy bezpieczniejsze środowiska produkcyjne.

W poniższym przykładzie przypisano rolę właściciela danych usługi Azure Service Bus do konta użytkownika, co umożliwia wysyłanie i odbieranie danych.

Ważne

W większości przypadków propagacja przypisania roli na platformie Azure potrwa minutę lub dwie, ale w rzadkich przypadkach może upłynąć do ośmiu minut. Jeśli podczas pierwszego uruchomienia kodu wystąpią błędy uwierzytelniania, zaczekaj chwilę i spróbuj ponownie.

Witryna Azure Portal

1. W witrynie Azure Portal znajdź przestrzeń nazw usługi Service Bus przy użyciu głównego paska wyszukiwania lub nawigacji po lewej stronie.

2. Na stronie Przegląd usługi Service Bus wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) z menu po lewej stronie.

3. Na stronie Kontrola dostępu (Zarządzanie dostępem i tożsamościami) wybierz kartę Przypisania ról.

4. Wybierz pozycję + Dodaj z górnego menu, a następnie pozycję Dodaj przypisanie roli z wyświetlonego menu rozwijanego.

   

5. Użyj pola wyszukiwania, aby filtrować wyniki do żądanej roli. W tym przykładzie wyszukaj ciąg Właściciel danych usługi Azure Service Bus i wybierz pasujący wynik, a następnie wybierz pozycję Dalej.

6. W obszarze Przypisz dostęp do wybierz pozycję Użytkownik, grupa lub jednostka usługi, a następnie wybierz pozycję + Wybierz członków.

7. W oknie dialogowym wyszukaj nazwę użytkownika firmy Microsoft Entra (zazwyczaj adres e-mail user@domain ), a następnie wybierz pozycję Wybierz w dolnej części okna dialogowego.

8. Wybierz pozycję Przejrzyj i przypisz , aby przejść do ostatniej strony, a następnie ponownie przejrzyj i przypisz, aby ukończyć proces.

Interfejs wiersza polecenia platformy Azure

Aby przypisać rolę na poziomie zasobu przy użyciu interfejsu wiersza polecenia platformy Azure, należy najpierw pobrać identyfikator zasobu przy użyciu az servicesbus namespace show polecenia . Właściwości wyjściowe można filtrować przy użyciu parametru --query .

az servicebus namespace show --resource-group '<your-resource-group-name>' --name '<your-service-bus-namespace>' --query id

Skopiuj dane wyjściowe ID z poprzedniego polecenia. Następnie możesz przypisać role przy użyciu polecenia az role interfejsu wiersza polecenia platformy Azure.

az role assignment create --assignee "<user@domain>" \
    --role "Azure Service Bus Data Owner" \
    --scope "<your-resource-id>"

Program PowerShell

Aby przypisać rolę na poziomie zasobu przy użyciu programu Azure PowerShell, należy najpierw pobrać identyfikator zasobu przy użyciu Get-AzResource polecenia .

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourServiceBusName>"

ID Skopiuj wartość z powyższych danych wyjściowych polecenia. Następnie można przypisać role przy użyciu polecenia New-AzRoleAssignment w programie PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Azure Service Bus Data Owner" `
    -Scope <yourServiceBusId>

Logowanie się i migrowanie kodu aplikacji w celu korzystania z połączeń bez hasła

W przypadku programowania lokalnego upewnij się, że uwierzytelniasz się przy użyciu tego samego konta Microsoft Entra, do którego przypisano rolę dla przestrzeni nazw usługi Service Bus. Możesz uwierzytelnić się za pomocą interfejsu wiersza polecenia platformy Azure, programu Visual Studio, programu Azure PowerShell lub innych narzędzi, takich jak IntelliJ.

W przypadku programowania lokalnego upewnij się, że uwierzytelniasz się przy użyciu tego samego konta Microsoft Entra, do którego przypisano rolę. Możesz uwierzytelnić się za pomocą popularnych narzędzi programistycznych, takich jak interfejs wiersza polecenia platformy Azure lub program Azure PowerShell. Narzędzia programistyczne, za pomocą których można uwierzytelniać się w różnych językach.

Interfejs wiersza polecenia platformy Azure

Zaloguj się do platformy Azure za pomocą interfejsu wiersza polecenia platformy Azure przy użyciu następującego polecenia:

az login

Program Visual Studio

Wybierz przycisk Zaloguj się w prawym górnym rogu programu Visual Studio.

Zaloguj się przy użyciu konta Microsoft Entra, do którego przypisano wcześniej rolę.

Visual Studio Code

Aby pracować z DefaultAzureCredential programem Visual Studio Code, musisz zainstalować interfejs wiersza polecenia platformy Azure.

W menu głównym programu Visual Studio Code przejdź do pozycji Terminal New Terminal (Nowy > terminal).

Zaloguj się do platformy Azure za pomocą interfejsu wiersza polecenia platformy Azure przy użyciu następującego polecenia:

az login

Program PowerShell

Zaloguj się do platformy Azure przy użyciu programu PowerShell za pomocą następującego polecenia:

Connect-AzAccount

Następnie zaktualizuj kod, aby używał połączeń bez hasła.

.NET

1. Aby użyć DefaultAzureCredential w aplikacji .NET, zainstaluj Azure.Identity pakiet:

   dotnet add package Azure.Identity
   

2. W górnej części pliku dodaj następujący kod:

   using Azure.Identity;
   

3. Zidentyfikuj kod, który tworzy obiekt w celu nawiązania połączenia z usługą ServiceBusClient Azure Service Bus. Zaktualizuj kod, aby był zgodny z następującym przykładem:

    var serviceBusNamespace = $"https://{namespace}.servicebus.windows.net";
    ServiceBusClient client = new(
        serviceBusNamespace,
        new DefaultAzureCredential());
   

Przejdź

1. Aby użyć DefaultAzureCredential w aplikacji Języka Go, zainstaluj azidentity moduł:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. W górnej części pliku dodaj następujący kod:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Zidentyfikuj lokalizacje w kodzie, które tworzą wystąpienie w celu nawiązania połączenia z usługą Client Azure Service Bus. Zaktualizuj kod, aby był zgodny z następującym przykładem:

   credential, err := azidentity.NewDefaultAzureCredential(nil)
   
   if err != nil {
       // handle error
   }
   
   serviceBusNamespace := fmt.Sprintf(
       "https://%s.servicebus.windows.net",
       namespace)
   client, err := azservicebus.NewClient(serviceBusNamespace, credential, nil)
   
   if err != nil {
       // handle error
   }
   

Java

1. Aby użyć narzędzia DefaultAzureCredential, wykonaj następujące czynności:

   • W aplikacji JMS dodaj do aplikacji co najmniej wersję 1.0.0 azure-servicebus-jms pakietu:

     <dependency>
         <groupId>com.microsoft.azure</groupId>
         <artifactId>azure-servicebus-jms</artifactId>
         <version>1.0.0</version>
     </dependency>
     

   • W aplikacji Java zainstaluj azure-identity pakiet za pomocą jednego z następujących metod:

     • Uwzględnij plik BOM.
     • Uwzględnij zależność bezpośrednią.

2. W górnej części pliku dodaj następujący kod:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Zaktualizuj kod łączący się z usługą Azure Service Bus:

   • W aplikacji JMS zidentyfikuj kod, który tworzy obiekt w celu nawiązania połączenia z usługą ServiceBusJmsConnectionFactory Azure Service Bus. Zaktualizuj kod, aby był zgodny z następującym przykładem:

      DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
          .build();
      String serviceBusNamespace = 
          "https://" + namespace + ".servicebus.windows.net";
     
      ConnectionFactory factory = new ServiceBusJmsConnectionFactory(
          credential,
          serviceBusNamespace,
          new ServiceBusJmsConnectionFactorySettings());
     

   • W aplikacji Java zidentyfikuj kod, który tworzy obiekt klienta nadawcy lub odbiorcy usługi Service Bus w celu nawiązania połączenia z usługą Azure Service Bus. Zaktualizuj kod, aby był zgodny z jednym z następujących przykładów:

     Klient odbiorcy:

     DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
         .build();
     String serviceBusNamespace = 
         "https://" + namespace + ".servicebus.windows.net";
     
     ServiceBusReceiverClient receiver = new ServiceBusClientBuilder()
         .credential(serviceBusNamespace, credential)
         .receiver()
         .topicName("<TOPIC-NAME>")
         .subscriptionName("<SUBSCRIPTION-NAME>")
         .buildClient();
     

     Klient nadawcy:

     DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
         .build();
     String serviceBusNamespace = 
         "https://" + namespace + ".servicebus.windows.net";
     
     ServiceBusSenderClient client = new ServiceBusClientBuilder()
         .credential(serviceBusNamespace, credential)
         .sender()
         .queueName("<QUEUE-NAME>")
         .buildClient();
     

Node.js

1. Aby użyć DefaultAzureCredential w aplikacji Node.js, zainstaluj @azure/identity pakiet:

   npm install --save @azure/identity
   

2. W górnej części pliku dodaj następujący kod:

   const { DefaultAzureCredential } = require("@azure/identity");
   

3. Zidentyfikuj kod, który tworzy obiekt w celu nawiązania połączenia z usługą ServiceBusClient Azure Service Bus. Zaktualizuj kod, aby był zgodny z następującym przykładem:

   const credential = new DefaultAzureCredential();
   const serviceBusNamespace = `https://${namespace}.servicebus.windows.net`;    
   
   const client = new ServiceBusClient(
     serviceBusNamespace,
     credential
   );
   

Python

1. Aby użyć DefaultAzureCredential w aplikacji języka Python, zainstaluj azure-identity pakiet:

   pip install azure-identity
   

2. W górnej części pliku dodaj następujący kod:

   from azure.identity import DefaultAzureCredential
   

3. Zidentyfikuj kod, który tworzy obiekt w celu nawiązania połączenia z usługą ServiceBusClient Azure Service Bus. Zaktualizuj kod, aby był zgodny z następującym przykładem:

   credential = DefaultAzureCredential()
   service_bus_namespace = "https://%s.servicebus.windows.net" % namespace
   
   client = ServiceBusClient(
       fully_qualified_namespace = service_bus_namespace,
       credential = credential
   )
   

Lokalne uruchamianie aplikacji

Po wprowadzeniu tych zmian w kodzie uruchom aplikację lokalnie. Nowa konfiguracja powinna pobierać poświadczenia lokalne, takie jak interfejs wiersza polecenia platformy Azure, program Visual Studio lub IntelliJ. Role przypisane do lokalnego użytkownika deweloperskiego na platformie Azure umożliwiają aplikacji nawiązywanie połączenia z usługą platformy Azure lokalnie.

Konfigurowanie środowiska hostingu platformy Azure

Po skonfigurowaniu aplikacji do korzystania z połączeń bez hasła i uruchamianiu lokalnie ten sam kod może uwierzytelniać się w usługach platformy Azure po jej wdrożeniu na platformie Azure. Na przykład aplikacja wdrożona w wystąpieniu usługi aplikacja systemu Azure z włączoną tożsamością zarządzaną może łączyć się z usługą Azure Service Bus.

Tworzenie tożsamości zarządzanej przy użyciu witryny Azure Portal

W poniższych krokach pokazano, jak utworzyć tożsamość zarządzaną przypisaną przez system dla różnych usług hostingu sieci Web. Tożsamość zarządzana może bezpiecznie łączyć się z innymi usługami platformy Azure przy użyciu skonfigurowanych wcześniej konfiguracji aplikacji.

Połączenie or usługi

Niektóre środowiska hostingu aplikacji obsługują usługę Połączenie or, która ułatwia łączenie usług obliczeniowych platformy Azure z innymi usługami pomocniczymi. Usługa Połączenie or automatycznie konfiguruje ustawienia sieci i informacje o połączeniu. Więcej informacji na temat usługi service Połączenie or i scenariuszy obsługiwanych na stronie przeglądu.

Obecnie obsługiwane są następujące usługi obliczeniowe:

• Azure App Service
• Azure Spring Cloud
• Azure Container Apps (wersja zapoznawcza)

W tym przewodniku migracji użyjesz usługi App Service, ale kroki są podobne w usługach Azure Spring Apps i Azure Container Apps.

Uwaga

Usługa Azure Spring Apps obecnie obsługuje tylko Połączenie or usługi przy użyciu parametry połączenia.

1. Na stronie głównej przeglądu usługi App Service wybierz pozycję Service Połączenie or w obszarze nawigacji po lewej stronie.

2. Wybierz pozycję + Utwórz z górnego menu i zostanie otwarty panel Tworzenie połączenia . Wprowadź następujące wartości:

   • Typ usługi: wybierz pozycję Service Bus.
   • Subskrypcja: wybierz subskrypcję, której chcesz użyć.
   • nazwa Połączenie ion: wprowadź nazwę połączenia, na przykład connector_appservice_servicebus.
   • Typ klienta: pozostaw wybraną wartość domyślną lub wybierz określonego klienta, którego chcesz użyć.

   Wybierz pozycję Dalej: Uwierzytelnianie.

3. Upewnij się, że wybrano opcję Tożsamość zarządzana przypisana przez system (zalecana), a następnie wybierz pozycję Dalej: Sieć.

4. Pozostaw wybrane wartości domyślne, a następnie wybierz pozycję Dalej: Przejrzyj i utwórz.

5. Po zweryfikowaniu ustawień przez platformę Azure wybierz pozycję Utwórz.

Usługa Połączenie or automatycznie utworzy tożsamość zarządzaną przypisaną przez system dla usługi App Service. Łącznik przypisze również tożsamość zarządzaną rolę właściciela danych usługi Azure Service Bus dla wybranej magistrali usług.

Azure App Service

1. Na stronie głównej przeglądu wystąpienia usługi aplikacja systemu Azure wybierz pozycję Tożsamość w obszarze nawigacji po lewej stronie.

2. Na karcie Przypisane przez system upewnij się, że pole Stan ma wartość włączone. Tożsamość przypisana przez system jest zarządzana przez platformę Azure wewnętrznie i obsługuje zadania administracyjne. Szczegóły i identyfikatory tożsamości nigdy nie są ujawniane w kodzie.

   

Azure Spring Apps

1. Na stronie głównej przeglądu wystąpienia usługi Azure Spring Apps wybierz pozycję Tożsamość w obszarze nawigacji po lewej stronie.

2. Na karcie Przypisane przez system upewnij się, że pole Stan ma wartość włączone. Tożsamość przypisana przez system jest zarządzana przez platformę Azure wewnętrznie i obsługuje zadania administracyjne. Szczegóły i identyfikatory tożsamości nigdy nie są ujawniane w kodzie.

   

Azure Container Apps

1. Na stronie głównej przeglądu wystąpienia usługi Azure Container Apps wybierz pozycję Tożsamość w obszarze nawigacji po lewej stronie.

2. Na karcie Przypisane przez system upewnij się, że pole Stan ma wartość włączone. Tożsamość przypisana przez system jest zarządzana przez platformę Azure wewnętrznie i obsługuje zadania administracyjne. Szczegóły i identyfikatory tożsamości nigdy nie są ujawniane w kodzie.

   

Azure Virtual Machines

1. Na stronie głównej przeglądu maszyny wirtualnej wybierz pozycję Tożsamość w obszarze nawigacji po lewej stronie.

2. Na karcie Przypisane przez system upewnij się, że pole Stan ma wartość włączone. Tożsamość przypisana przez system jest zarządzana przez platformę Azure wewnętrznie i obsługuje zadania administracyjne. Szczegóły i identyfikatory tożsamości nigdy nie są ujawniane w kodzie.

   

Alternatywnie możesz również włączyć tożsamość zarządzaną w środowisku hostingu platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Połączenie or usługi

Za pomocą Połączenie usługi można utworzyć połączenie między środowiskiem hostingu obliczeniowego platformy Azure i usługą docelową przy użyciu interfejsu wiersza polecenia platformy Azure. Interfejs wiersza polecenia automatycznie obsługuje tworzenie tożsamości zarządzanej i przypisuje odpowiednią rolę zgodnie z opisem w instrukcjach portalu.

Jeśli używasz usługi aplikacja systemu Azure, użyj az webapp connection polecenia :

az webapp connection create servicebus \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Jeśli używasz usługi Azure Spring Apps, użyj az spring connection polecenia :

az spring connection create servicebus \
    --resource-group <resource-group-name> \
    --service <service-instance-name> \
    --app <app-name> \
    --deployment <deployment-name> \
    --target-resource-group <target-resource-group> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Jeśli używasz usługi Azure Container Apps, użyj az containerapp connection polecenia :

az containerapp connection create servicebus \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --namespace <target-service-bus-namespace> \
    --system-identity

Azure App Service

Tożsamość zarządzaną można przypisać do wystąpienia usługi aplikacja systemu Azure za pomocą polecenia az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>

Azure Spring Apps

Tożsamość zarządzaną można przypisać do wystąpienia usługi Azure Spring Apps za pomocą polecenia az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>

Azure Container Apps

Tożsamość zarządzaną można przypisać do wystąpienia usługi Azure Container Apps za pomocą polecenia az container app identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>

Azure Virtual Machines

Tożsamość zarządzaną można przypisać do maszyny wirtualnej za pomocą polecenia az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>

Azure Kubernetes Service

Tożsamość zarządzaną można przypisać do wystąpienia usługi Azure Kubernetes Service (AKS) za pomocą polecenia az aks update .

az aks update \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name> \
    --enable-managed-identity

Przypisywanie ról do tożsamości zarządzanej

Następnie musisz przyznać uprawnienia tożsamości zarządzanej utworzonej w celu uzyskania dostępu do usługi Service Bus. Możesz to zrobić, przypisując rolę do tożsamości zarządzanej, podobnie jak w przypadku lokalnego użytkownika dewelopera.

Połączenie or usługi

Jeśli połączono usługi przy użyciu usługi Połączenie or, nie musisz wykonywać tego kroku. Obsługiwane zostały niezbędne konfiguracje:

• W przypadku wybrania tożsamości zarządzanej podczas tworzenia połączenia utworzono tożsamość zarządzaną przypisaną przez system dla aplikacji i przypisano rolę Właściciela danych usługi Azure Service Bus w usłudze Service Bus.

• Jeśli wybrano parametry połączenia, parametry połączenia został dodany jako zmienna środowiskowa aplikacji.

Witryna Azure Portal

1. Przejdź do strony przeglądu usługi Service Bus i wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) z lewej strony nawigacji.

2. Wybierz pozycję Dodaj przypisanie roli.

   

3. W polu wyszukiwania Rola wyszukaj ciąg Właściciel danych usługi Azure Service Bus, który jest wspólną rolą służącą do zarządzania operacjami danych dla obiektów blob. Możesz przypisać dowolną rolę odpowiednią dla danego przypadku użycia. Wybierz z listy pozycję Właściciel danych usługi Azure Service Bus, a następnie wybierz pozycję Dalej.

4. Na ekranie Dodawanie przypisania roli dla opcji Przypisz dostęp do wybierz pozycję Tożsamość zarządzana. Następnie wybierz pozycję +Wybierz członków.

5. W oknie wysuwaym wyszukaj utworzoną tożsamość zarządzaną, wprowadzając nazwę usługi app Service. Wybierz tożsamość przypisaną przez system, a następnie wybierz pozycję Wybierz , aby zamknąć menu wysuwane.

   

6. Wybierz pozycję Dalej kilka razy, dopóki nie będzie można wybrać pozycji Przejrzyj i przypisz , aby zakończyć przypisanie roli.

Interfejs wiersza polecenia platformy Azure

Aby przypisać rolę na poziomie zasobu przy użyciu interfejsu wiersza polecenia platformy Azure, należy najpierw pobrać identyfikator zasobu przy użyciu az servicebus show polecenia . Właściwości wyjściowe można filtrować przy użyciu parametru --query .

az servicebus show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-service-bus-namespace>' \
    --query id

Skopiuj identyfikator wyjściowy z poprzedniego polecenia. Następnie możesz przypisać role przy użyciu az role polecenia interfejsu wiersza polecenia platformy Azure.

az role assignment create \
    --assignee "<your-username>" \
    --role "Azure Service Bus Data Owner" \
    --scope "<your-resource-id>"

Testowanie aplikacji

Po wprowadzeniu tych zmian w kodzie przejdź do hostowanej aplikacji w przeglądarce. Aplikacja powinna mieć możliwość pomyślnego nawiązania połączenia z usługą Service Bus. Należy pamiętać, że propagowanie przypisań ról za pośrednictwem środowiska platformy Azure może potrwać kilka minut. Aplikacja jest teraz skonfigurowana do uruchamiania zarówno lokalnie, jak i w środowisku produkcyjnym bez konieczności zarządzania wpisami tajnymi w samej aplikacji.

Następne kroki

W tym samouczku przedstawiono sposób migrowania aplikacji do połączeń bez hasła.