Migrar um aplicativo para usar conexões sem senha com o Banco de Dados do Azure para MySQL

Este artigo explica como migrar dos métodos tradicionais de autenticação para conexões mais seguras e sem senha com o Banco de Dados do Azure para MySQL.

As solicitações de aplicativo para o Banco de Dados do Azure para MySQL devem ser autenticadas. O Banco de Dados do Azure para MySQL fornece várias maneiras diferentes de os aplicativos se conectarem com segurança. Uma das maneiras é usar senhas. No entanto, você deve priorizar conexões sem senha em seus aplicativos quando possível.

Comparar opções de autenticação

Quando o aplicativo é autenticado com o Banco de Dados do Azure para MySQL, ele fornece um par de nome de usuário e senha para se conectar ao banco de dados. Dependendo de onde as identidades são armazenadas, há dois tipos de autenticação: autenticação do Microsoft Entra e autenticação MySQL.

autenticação do Microsoft Entra

A autenticação do Microsoft Entra é um mecanismo para se conectar ao Banco de Dados do Azure para MySQL usando identidades definidas na ID do Microsoft Entra. Com a autenticação do Microsoft Entra, você pode gerenciar identidades de usuário de banco de dados e outros serviços da Microsoft em um local central, o que simplifica o gerenciamento de permissões.

O uso da ID do Microsoft Entra para autenticação oferece os seguintes benefícios:

• Autenticação de usuários nos Serviços do Azure de maneira uniforme.
• Gerenciamento de políticas de senha e rotação de senha em um único lugar.
• Várias formas de autenticação compatíveis com a ID do Microsoft Entra, que podem eliminar a necessidade de armazenar senhas.
• Os clientes podem gerenciar permissões de banco de dados usando grupos externos (Microsoft Entra ID).
• A autenticação do Microsoft Entra usa usuários do banco de dados MySQL para autenticar identidades no nível do banco de dados.
• Suporte à autenticação baseada em token para aplicativos que se conectam ao Banco de Dados do Azure para MySQL.

Autenticação mySQL

Você pode criar contas no MySQL. Se você optar por usar senhas como credenciais para as contas, essas credenciais serão armazenadas na user tabela. Como essas senhas são armazenadas no MySQL, você precisa gerenciar a rotação das senhas sozinho.

Embora seja possível se conectar ao Banco de Dados do Azure para MySQL com senhas, você deve usá-las com cuidado. Você deve ser diligente para nunca expor as senhas em um local não seguro. Qualquer pessoa que tenha acesso às senhas poderá se autenticar. Por exemplo, há o risco de um usuário mal-intencionado acessar o aplicativo se uma cadeia de conexão for verificada acidentalmente no controle do código-fonte, enviada por um email não seguro, colada no chat errado ou exibida por alguém que não deve ter permissão. Em vez disso, considere atualizar seu aplicativo para usar conexões sem senha.

Introdução a conexões sem senha

Com uma conexão sem senha, você pode se conectar aos serviços do Azure sem armazenar credenciais no código do aplicativo, em seus arquivos de configuração ou em variáveis de ambiente.

Muitos serviços do Azure dão suporte a conexões sem senha, por exemplo, por meio da Identidade Gerenciada do Azure. Essas técnicas fornecem recursos de segurança robustos que você pode implementar usando DefaultAzureCredential das bibliotecas de clientes da Identidade do Azure. Neste tutorial, você aprenderá a atualizar um aplicativo existente para usar DefaultAzureCredential em vez de alternativas como cadeias de conexão.

DefaultAzureCredential dá suporte a vários métodos de autenticação e determina automaticamente quais devem ser usados em runtime. Essa abordagem permite que seu aplicativo use diferentes métodos de autenticação em ambientes diferentes (desenvolvimento local versus produção) sem implementar código específico do ambiente.

A ordem e os locais nos quais DefaultAzureCredential as pesquisas de credenciais podem ser encontradas na visão geral da biblioteca de identidades do Azure. Por exemplo, ao trabalhar localmente, DefaultAzureCredential geralmente será autenticado usando a conta que o desenvolvedor usou para entrar no Visual Studio. Quando o aplicativo é implantado no Azure, DefaultAzureCredential alternará automaticamente para usar uma identidade gerenciada. Nenhuma alteração de código é necessária para essa transição.

Para garantir que as conexões não sejam senha, você deve levar em consideração o desenvolvimento local e o ambiente de produção. Se uma cadeia de conexão for necessária em qualquer lugar, o aplicativo não será sem senha.

Em seu ambiente de desenvolvimento local, você pode se autenticar com a CLI do Azure, o Azure PowerShell, o Visual Studio ou plug-ins do Azure para Visual Studio Code ou IntelliJ. Nesse caso, você pode usar essa credencial em seu aplicativo em vez de configurar propriedades.

Ao implantar aplicativos em um ambiente de hospedagem do Azure, como uma máquina virtual, você pode atribuir identidade gerenciada nesse ambiente. Em seguida, você não precisará fornecer credenciais para se conectar aos serviços do Azure.

Observação

Uma identidade gerenciada fornece uma identidade de segurança para representar um aplicativo ou serviço. A identidade é gerenciada pela plataforma do Azure e não exige que você provisione ou gire nenhum segredo. Você pode ler mais sobre identidades gerenciadas na documentação de visão geral .

Migrar um aplicativo existente para usar conexões sem senha

As etapas a seguir explicam como migrar um aplicativo existente para usar conexões sem senha em vez de uma solução baseada em senha.

0) Preparar o ambiente de trabalho

Primeiro, use o comando a seguir para configurar algumas variáveis de ambiente.

export AZ_RESOURCE_GROUP=<YOUR_RESOURCE_GROUP>
export AZ_DATABASE_SERVER_NAME=<YOUR_DATABASE_SERVER_NAME>
export AZ_DATABASE_NAME=demo
export AZ_MYSQL_AD_NON_ADMIN_USERNAME=<YOUR_AZURE_AD_NON_ADMIN_USER_DISPLAY_NAME>
export AZ_MYSQL_AD_MI_USERNAME=<YOUR_AZURE_AD_MI_DISPLAY_NAME>
export AZ_USER_IDENTITY_NAME=<YOUR_USER_ASSIGNED_MANAGEMED_IDENTITY_NAME>
export CURRENT_USERNAME=$(az ad signed-in-user show --query userPrincipalName --output tsv)
export CURRENT_USER_OBJECTID=$(az ad signed-in-user show --query id --output tsv)

Substitua os espaços reservados pelos seguintes valores, que são usados ao longo deste artigo:

• <YOUR_RESOURCE_GROUP>: o nome do grupo de recursos em que seus recursos estão.
• <YOUR_DATABASE_SERVER_NAME>: o nome do servidor MySQL, que deve ser exclusivo no Azure.
• <YOUR_AZURE_AD_NON_ADMIN_USER_DISPLAY_NAME>: o nome de exibição do usuário não administrador do Microsoft Entra. Verifique se o nome é um usuário válido em seu locatário do Microsoft Entra.
• <YOUR_AZURE_AD_MI_DISPLAY_NAME>: o nome de exibição do usuário do Microsoft Entra para sua identidade gerenciada. Verifique se o nome é um usuário válido em seu locatário do Microsoft Entra.
• <YOUR_USER_ASSIGNED_MANAGEMED_IDENTITY_NAME>: o nome do servidor de identidade gerenciada atribuído pelo usuário, que deve ser exclusivo no Azure.

1) Configurar o Banco de Dados do Azure para MySQL

1.1) Habilitar a autenticação baseada em ID do Microsoft Entra

Para usar o acesso à ID do Microsoft Entra com o Banco de Dados do Azure para MySQL, você deve definir o usuário administrador do Microsoft Entra primeiro. Somente um usuário do Microsoft Entra Admin pode criar/habilitar usuários para autenticação baseada em ID do Microsoft Entra.

Se você estiver usando a CLI do Azure, execute o seguinte comando para garantir que ele tenha permissão suficiente:

az login --scope https://graph.microsoft.com/.default

Execute o seguinte comando para criar a identidade do usuário para atribuir:

az identity create \
    --resource-group $AZ_RESOURCE_GROUP \
    --name $AZ_USER_IDENTITY_NAME

Importante

Depois de criar a identidade atribuída pelo usuário, peça ao administrador global ou administrador de função com privilégios para conceder as seguintes permissões para essa identidade: User.Read.All, GroupMember.Read.Alle Application.Read.ALL. Para obter mais informações, consulte a seção Permissões da autenticação do Active Directory.

Execute o seguinte comando para atribuir a identidade ao servidor MySQL para criar o administrador do Microsoft Entra:

az mysql flexible-server identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --server-name $AZ_DATABASE_SERVER_NAME \
    --identity $AZ_USER_IDENTITY_NAME

Em seguida, execute o seguinte comando para definir o administrador do Microsoft Entra:

az mysql flexible-server ad-admin create \
    --resource-group $AZ_RESOURCE_GROUP \
    --server-name $AZ_DATABASE_SERVER_NAME \
    --display-name $CURRENT_USERNAME \
    --object-id $CURRENT_USER_OBJECTID \
    --identity $AZ_USER_IDENTITY_NAME

Esse comando definirá o administrador do Microsoft Entra como o usuário conectado atual.

Observação

Você só pode criar um administrador do Microsoft Entra por servidor MySQL. A seleção de outro substituirá o administrador existente do Microsoft Entra configurado para o servidor.

2) Configurar o Banco de Dados do Azure para MySQL para desenvolvimento local

2.1) Configurar uma regra de firewall para IP local

As instâncias do Banco de Dados do Azure para MySQL são protegidas por padrão. Eles têm um firewall que não permite nenhuma conexão de entrada.

Você pode ignorar essa etapa se estiver usando o Bash porque o flexible-server create comando já detectou seu endereço IP local e o definiu no servidor MySQL.

Se você estiver se conectando ao servidor MySQL do Subsistema do Windows para Linux (WSL) em um computador Windows, precisará adicionar a ID do host WSL ao firewall. Obtenha o endereço IP do computador host executando o seguinte comando no WSL:

cat /etc/resolv.conf

Copie o endereço IP após o termo nameservere use o seguinte comando para definir uma variável de ambiente para o endereço IP do WSL:

export AZ_WSL_IP_ADDRESS=<the-copied-IP-address>

Em seguida, use o seguinte comando para abrir o firewall do servidor para seu aplicativo baseado em WSL:

az mysql server firewall-rule create \
    --resource-group $AZ_RESOURCE_GROUP \
    --name $AZ_DATABASE_SERVER_NAME-database-allow-local-ip-wsl \
    --server $AZ_DATABASE_SERVER_NAME \
    --start-ip-address $AZ_WSL_IP_ADDRESS \
    --end-ip-address $AZ_WSL_IP_ADDRESS \
    --output tsv

2.2) Criar um usuário não administrador do MySQL e conceder permissão

Em seguida, crie um usuário não administrador do Microsoft Entra e conceda a ele todas as permissões no $AZ_DATABASE_NAME banco de dados. Você pode alterar o nome $AZ_DATABASE_NAME do banco de dados para atender às suas necessidades.

Crie um script SQL chamado create_ad_user.sql para criar um usuário não administrador. Adicione o seguinte conteúdo e salve-o localmente:

export AZ_MYSQL_AD_NON_ADMIN_USERID=$(az ad signed-in-user show --query id --output tsv)

cat << EOF > create_ad_user.sql
SET aad_auth_validate_oids_in_tenant = OFF;
CREATE AADUSER '$AZ_MYSQL_AD_NON_ADMIN_USERNAME' IDENTIFIED BY '$AZ_MYSQL_AD_NON_ADMIN_USERID';
GRANT ALL PRIVILEGES ON $AZ_DATABASE_NAME.* TO '$AZ_MYSQL_AD_NON_ADMIN_USERNAME'@'%';
FLUSH privileges;
EOF

Em seguida, use o seguinte comando para executar o script SQL para criar o usuário não administrador do Microsoft Entra:

mysql -h $AZ_DATABASE_SERVER_NAME.mysql.database.azure.com --user $CURRENT_USERNAME --enable-cleartext-plugin --password=$(az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken) < create_ad_user.sql

Agora, use o seguinte comando para remover o arquivo de script SQL temporário:

rm create_ad_user.sql

Observação

Você pode ler informações mais detalhadas sobre como criar usuários do MySQL em Criar usuários no Banco de Dados do Azure para MySQL.

3) Entrar e migrar o código do aplicativo para usar conexões sem senha

Para desenvolvimento local, verifique se você está autenticado com a mesma conta do Microsoft Entra à qual atribuiu a função em seu MySQL. Você pode autenticar por meio da CLI do Azure, do Visual Studio, do Azure PowerShell ou de outras ferramentas, como o IntelliJ.

Azure CLI

Entre no Azure por meio da CLI do Azure usando o seguinte comando:

az login

PowerShell

Entre no Azure usando o PowerShell usando o seguinte comando:

Connect-AzAccount

Visual Studio

Selecione o botão Entrar no canto superior direito do Visual Studio.

Entre usando a conta do Microsoft Entra à qual você atribuiu uma função anteriormente.

Código do Visual Studio

Verifique se você tem a extensão da Conta do Azure instalada.

Use o atalho CTRL + Shift + P para abrir a paleta de comandos. Pesquise o comando Azure: Entrar e siga os prompts para autenticar. Use a conta do Microsoft Entra à qual você atribuiu uma função anteriormente da sua conta de Armazenamento de Blobs.

IntelliJ

Para obter mais informações, consulte Instalar o Kit de Ferramentas do Azure para IntelliJ e instruções de entrada para o Kit de Ferramentas do Azure para IntelliJ.

Em seguida, use as etapas a seguir para atualizar seu código para usar conexões sem senha. Embora conceitualmente semelhante, cada idioma usa detalhes de implementação diferentes.

Java

1. Dentro do projeto, adicione a referência a seguir ao azure-identity-extensions pacote. Essa biblioteca contém todas as entidades necessárias para implementar conexões sem senha.

   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity-extensions</artifactId>
       <version>1.0.0</version>
   </dependency>
   

2. Habilite o plug-in de autenticação do MySQL do Azure na URL JDBC. Identifique os locais em seu código que atualmente criam um java.sql.Connection para se conectar ao Banco de Dados do Azure para MySQL. Atualize url e user no arquivo application.properties para corresponder aos seguintes valores:

   url=jdbc:mysql://$AZ_DATABASE_SERVER_NAME.mysql.database.azure.com:3306/$AZ_DATABASE_NAME?serverTimezone=UTC&sslMode=REQUIRED&defaultAuthenticationPlugin=com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin&authenticationPlugins=com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin
   user=$AZ_MYSQL_AD_NON_ADMIN_USERNAME
   

   Observação

   Se você estiver usando a MysqlConnectionPoolDataSource classe como a fonte de dados em seu aplicativo, certifique-se de remover defaultAuthenticationPlugin=com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin da URL.

   url=jdbc:mysql://$AZ_DATABASE_SERVER_NAME.mysql.database.azure.com:3306/$AZ_DATABASE_NAME?serverTimezone=UTC&sslMode=REQUIRED&authenticationPlugins=com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin
   user=$AZ_MYSQL_AD_NON_ADMIN_USERNAME
   

3. Substitua uma $AZ_DATABASE_SERVER_NAME variável, uma $AZ_DATABASE_NAME variável e uma $AZ_MYSQL_AD_NON_ADMIN_USERNAME variável pelos valores que você configurou no início deste artigo.

4. Remova a password URL JDBC.

Primavera

1. Dentro do projeto, adicione a referência a seguir ao spring-cloud-azure-starter-jdbc-mysql pacote. Essa biblioteca contém todas as entidades necessárias para implementar conexões sem senha.

   <dependency>
       <groupId>com.azure.spring</groupId>
       <artifactId>spring-cloud-azure-starter-jdbc-mysql</artifactId>
   </dependency>
   

   Observação

   Para obter mais informações sobre como gerenciar versões da biblioteca do Spring Cloud Azure usando uma fatura de materiais (BOM), consulte a seção Introdução do guia de desenvolvedores do Spring Cloud Azure.

2. Atualize o arquivo application.yaml ou application.properties , conforme mostrado no exemplo a seguir. Altere o spring.datasource.username usuário do Microsoft Entra, remova a spring.datasource.password propriedade e adicione spring.datasource.azure.passwordless-enabled=true.

   spring:
     datasource:
       url: jdbc:mysql://${AZ_DATABASE_SERVER_NAME}.mysql.database.azure.com:3306/${AZ_DATABASE_NAME}?serverTimezone=UTC
       username: ${AZ_MYSQL_AD_NON_ADMIN_USERNAME}
       azure:
         passwordless-enabled: true
   

Executar o aplicativo localmente

Depois de fazer essas alterações de código, execute seu aplicativo localmente. A nova configuração deverá selecionar suas credenciais locais se você estiver conectado a um IDE compatível ou ferramenta de linha de comando, como a CLI do Azure, o Visual Studio ou o IntelliJ. As funções atribuídas ao usuário de desenvolvimento local no Azure permitirão que seu aplicativo se conecte ao serviço do Azure localmente.

4) Configurar o ambiente de hospedagem do Azure

Depois que o aplicativo é configurado para usar conexões sem senha e é executado localmente, o mesmo código pode ser autenticado nos serviços do Azure depois de implantado no Azure. Por exemplo, um aplicativo implantado em uma instância do Serviço de Aplicativo do Azure que tem uma identidade gerenciada atribuída pode se conectar ao Armazenamento do Azure.

Nesta seção, você executará duas etapas para permitir que seu aplicativo seja executado em um ambiente de hospedagem do Azure de maneira sem senha:

• Atribua a identidade gerenciada para seu ambiente de hospedagem do Azure.
• Atribua funções à identidade gerenciada.

Observação

O Azure também fornece o Service Connector, que pode ajudá-lo a conectar seu serviço de hospedagem ao PostgreSQL. Com o Service Connector para configurar seu ambiente de hospedagem, você pode omitir a etapa de atribuir funções à sua identidade gerenciada porque o Service Connector fará isso por você. A seção a seguir descreve como configurar seu ambiente de hospedagem do Azure de duas maneiras: uma por meio do Service Connector e outra configurando cada ambiente de hospedagem diretamente.

Importante

Os comandos do Service Connector exigem a CLI do Azure 2.41.0 ou superior.

Atribuir a identidade gerenciada usando o portal do Azure

As etapas a seguir mostram como atribuir uma identidade gerenciada atribuída pelo sistema para vários serviços de hospedagem da Web. A identidade gerenciada pode se conectar com segurança a outros Serviços do Azure usando as configurações de aplicativo configuradas anteriormente.

Serviço de Aplicativo

1. Na página de visão geral principal da instância do Serviço de Aplicativo do Azure, selecione Identidade no painel de navegação.

2. Na guia Atribuída pelo sistema , defina o campo Status como ativado. Uma identidade atribuída pelo sistema é gerenciada internamente pelo Azure e manipula tarefas administrativas para você. Os detalhes e as IDs da identidade nunca são expostos em seu código.

Conector de Serviço

Quando você usa o Service Connector, ele pode ajudar a atribuir a identidade gerenciada atribuída pelo sistema para seu ambiente de hospedagem do Azure. No entanto, o portal do Azure não dá suporte à configuração do Banco de Dados do Azure dessa forma, portanto, você precisa usar a CLI do Azure para atribuir a identidade.

Aplicativos de Contêiner

1. Na página de visão geral principal da instância dos Aplicativos de Contêiner do Azure, selecione Identidade no painel de navegação.

2. Na guia Atribuída pelo sistema , defina o campo Status como ativado. Uma identidade atribuída pelo sistema é gerenciada internamente pelo Azure e manipula tarefas administrativas para você. Os detalhes e as IDs da identidade nunca são expostos em seu código.

   

Azure Spring Apps

1. Na página de visão geral principal da instância do Azure Spring Apps, selecione Identidade no painel de navegação.

2. Na guia Atribuída pelo sistema , defina o campo Status como ativado. Uma identidade atribuída pelo sistema é gerenciada internamente pelo Azure e manipula tarefas administrativas para você. Os detalhes e as IDs da identidade nunca são expostos em seu código.

   

1. Na página de visão geral principal da sua máquina virtual, selecione Identidade no painel de navegação.

2. Na guia Atribuída pelo sistema , defina o campo Status como ativado. Uma identidade atribuída pelo sistema é gerenciada internamente pelo Azure e manipula tarefas administrativas para você. Os detalhes e as IDs da identidade nunca são expostos em seu código.

   

AKS

Um cluster do AKS (Serviço de Kubernetes do Azure) requer uma identidade para acessar recursos do Azure, como balanceadores de carga e discos gerenciados. Essa identidade pode ser uma identidade gerenciada ou uma entidade de serviço. Por padrão, quando você cria um cluster do AKS, uma identidade gerenciada atribuída pelo sistema é criada automaticamente.

Você também pode atribuir identidade gerenciada em um ambiente de hospedagem do Azure usando a CLI do Azure.

Serviço de Aplicativo

Você pode atribuir uma identidade gerenciada a uma instância do Serviço de Aplicativo do Azure com o comando az webapp identity assign , conforme mostrado no exemplo a seguir:

export AZ_MI_OBJECT_ID=$(az webapp identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <service-instance-name> \
    --query principalId \
    --output tsv)

Conector de Serviço

Você pode usar o Service Connector para criar uma conexão entre um ambiente de hospedagem de computação do Azure e um serviço de destino usando a CLI do Azure. Atualmente, o Service Connector dá suporte aos seguintes serviços de computação:

• Serviço de Aplicativo do Azure
• Aplicativos Spring do Azure
• Aplicativos de Contêiner do Azure

Antes de começar, use o comando a seguir para atribuir uma identidade gerenciada atribuída pelo usuário para a autenticação do Microsoft Entra. Para obter mais informações, consulte Configurar a autenticação do Microsoft Entra para o Banco de Dados do Azure para MySQL – Servidor Flexível.

export AZ_IDENTITY_RESOURCE_ID=$(az identity create \
    --name <user-identity-name> \
    --resource-group $AZ_RESOURCE_GROUP \
    --query id \
    --output tsv)

Importante

Depois de criar a identidade atribuída pelo usuário, peça ao administrador global ou administrador de função com privilégios para conceder as seguintes permissões para essa identidade: User.Read.All, GroupMember.Read.Alle Application.Read.ALL. Para obter mais informações, consulte a seção Permissões da autenticação do Active Directory.

Em seguida, instale a extensão sem senha do Conector de Serviço para a CLI do Azure:

az extension add --name serviceconnector-passwordless --upgrade

Se você estiver usando o Serviço de Aplicativo do Azure, use o az webapp connection comando, conforme mostrado no exemplo a seguir:

az webapp connection create mysql-flexible \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <app-service-name>
    --target-resource-group $AZ_RESOURCE_GROUP \
    --server $AZ_DATABASE_SERVER_NAME \
    --database $AZ_DATABASE_NAME \
    --system-identity mysql-identity-id=$AZ_IDENTITY_RESOURCE_ID

Se você estiver usando o Azure Spring Apps, use the az spring connection o comando, conforme mostrado no exemplo a seguir:

az spring connection create mysql-flexible \
    --resource-group $AZ_RESOURCE_GROUP \
    --service <service-name> \
    --app <service-instance-name> \
    --target-resource-group $AZ_RESOURCE_GROUP \
    --server $AZ_DATABASE_SERVER_NAME \
    --database $AZ_DATABASE_NAME \
    --system-identity mysql-identity-id=$AZ_IDENTITY_RESOURCE_ID

Se você estiver usando os Aplicativos de Contêiner do Azure, use o az containerapp connection comando, conforme mostrado no exemplo a seguir:

az containerapp connection create mysql-flexible \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <app-service-name>
    --target-resource-group $AZ_RESOURCE_GROUP \
    --server $AZ_DATABASE_SERVER_NAME \
    --database $AZ_DATABASE_NAME \
    --system-identity mysql-identity-id=$AZ_IDENTITY_RESOURCE_ID

Aplicativos de Contêiner

Você pode atribuir uma identidade gerenciada a uma instância dos Aplicativos de Contêiner do Azure com o comando az containerapp identity assign , conforme mostrado no exemplo a seguir:

export AZ_MI_OBJECT_ID=$(az containerapp identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <service-instance-name> \
    --query principalId \
    --output tsv)

Azure Spring Apps

Você pode atribuir uma identidade gerenciada a uma instância do Azure Spring Apps, conforme mostrado no exemplo a seguir:

export AZ_MI_OBJECT_ID=$(az spring app identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <service-instance-name> \
    --service <service-name> \
    --query identity.principalId \
    --output tsv)

Você pode atribuir uma identidade gerenciada a uma máquina virtual com o comando az vm identity assign , conforme mostrado no exemplo a seguir:

export AZ_MI_OBJECT_ID=$(az vm identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <service-instance-name> \
    --query principalId \
    --output tsv)

AKS

Você pode atribuir uma identidade gerenciada a uma instância do AKS (Serviço de Kubernetes do Azure) com o comando az aks update , conforme mostrado no exemplo a seguir:

export AZ_MI_OBJECT_ID=$(az aks update \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <AKS-cluster-name> \
    --enable-managed-identity \
    --query identityProfile.kubeletidentity.objectId \
    --output tsv)

Atribuir funções à identidade gerenciada

Em seguida, conceda permissões à identidade gerenciada que você atribuiu para acessar sua instância do MySQL.

Essas etapas criarão um usuário do Microsoft Entra para a identidade gerenciada e concederão todas as permissões para o banco de dados $AZ_DATABASE_NAME a ele. Você pode alterar o nome $AZ_DATABASE_NAME do banco de dados para atender às suas necessidades.

Primeiro, crie um script SQL chamado create_ad_user.sql para criar um usuário não administrador. Adicione o seguinte conteúdo e salve-o localmente:

export AZ_MYSQL_AD_MI_USERID=$(az ad sp show --id $AZ_MI_OBJECT_ID --query appId --output tsv)

cat << EOF > create_ad_user.sql
SET aad_auth_validate_oids_in_tenant = OFF;
CREATE AADUSER '$AZ_MYSQL_AD_MI_USERNAME' IDENTIFIED BY '$AZ_MYSQL_AD_MI_USERID';
GRANT ALL PRIVILEGES ON $AZ_DATABASE_NAME.* TO '$AZ_MYSQL_AD_MI_USERNAME'@'%';
FLUSH privileges;
EOF

Em seguida, use o seguinte comando para executar o script SQL para criar o usuário não administrador do Microsoft Entra:

mysql -h $AZ_DATABASE_SERVER_NAME.mysql.database.azure.com --user $CURRENT_USERNAME --enable-cleartext-plugin --password=$(az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken) < create_ad_user.sql

Agora, use o seguinte comando para remover o arquivo de script SQL temporário:

rm create_ad_user.sql

Testar o aplicativo

Antes de implantar o aplicativo no ambiente de hospedagem, você precisa fazer mais uma alteração no código porque o aplicativo vai se conectar ao MySQL usando o usuário criado para a identidade gerenciada.

Java

Atualize seu código para usar o usuário criado para a identidade gerenciada:

properties.put("user", "$AZ_MYSQL_AD_MI_USERNAME");

Primavera

Atualize o arquivo application.yaml ou application.properties . Altere para spring.datasource.username o usuário criado para a identidade gerenciada.

spring:
  datasource:
    url: jdbc:mysql://${AZ_DATABASE_SERVER_NAME}.mysql.database.azure.com:3306/${AZ_DATABASE_NAME}?serverTimezone=UTC
    username: ${AZ_MYSQL_AD_MI_USERNAME}
    azure:
      passwordless-enabled: true​

Depois de fazer essas alterações de código, você pode compilar e reimplantar o aplicativo. Em seguida, navegue até o aplicativo hospedado no navegador. Seu aplicativo deve ser capaz de se conectar ao banco de dados MySQL com êxito. Tenha em mente que pode levar vários minutos para que as atribuições de função se propaguem por meio de seu ambiente do Azure. Seu aplicativo agora está configurado para ser executado localmente e em um ambiente de produção sem que os desenvolvedores precisem gerenciar segredos no próprio aplicativo.

Próximas etapas

Neste tutorial, você aprendeu a migrar um aplicativo para conexões sem senha.

Você pode ler os seguintes recursos para explorar os conceitos discutidos neste artigo com mais profundidade:

• Autorize o acesso a dados de blob com identidades gerenciadas para recursos do Azure.
• Autorizar o acesso a blobs usando a ID do Microsoft Entra