Migrar um aplicativo para usar conexões sem senha com o Armazenamento de Blobs do Azure

Artigo
05/12/2023

As solicitações de aplicativo para os Serviços do Azure devem ser autenticadas por meio de chaves de acesso de conta ou conexões sem senha. No entanto, você deve priorizar conexões sem senha em seus aplicativos quando possível. Métodos de autenticação tradicionais que usam senhas ou chaves secretas criam riscos e complicações de segurança. Visite as de conexões sem senha para os serviços do Azure para saber mais sobre as vantagens de migrar para conexões sem senha.

O tutorial a seguir explica como migrar um aplicativo existente para se conectar por meio de conexões sem senha. Essas mesmas etapas de migração devem ser aplicadas se você estiver usando chaves de acesso, cadeias de conexão ou outra abordagem baseada em segredos.

Configurar funções e usuários para autenticação de desenvolvimento local

Ao desenvolver localmente, verifique se a conta de usuário que está acessando os dados de blob tem as permissões corretas. Você precisará do Colaborador de Dados do Blob de Armazenamento para ler e gravar os dados de blob. Para atribuir essa função a si mesmo, você precisará receber a atribuição da função Administrador de Acesso do Usuário ou de outra função que inclua a ação Microsoft.Authorization/roleAssignments/write. É possível atribuir funções RBAC do Azure a um usuário usando o portal do Azure, a CLI do Azure ou o Azure PowerShell. Você pode saber mais sobre os escopos disponíveis para atribuições de função na página de visão geral do escopo.

Nesse cenário, você atribuirá permissões à sua conta de usuário, no escopo da conta de armazenamento, para seguir o Princípio do Privilégio Mínimo. Essa prática fornece aos usuários apenas as permissões mínimas necessárias e cria ambientes de produção mais seguros.

O exemplo a seguir atribuirá a função de Colaborador de Dados do Blob de Armazenamento à sua conta de usuário, que fornece acesso de leitura e gravação aos dados de blob na sua conta de armazenamento.

Importante

Na maioria dos casos, levará um ou dois minutos para a atribuição de função se propagar no Azure, mas em casos raros pode levar até oito minutos. Se você receber erros de autenticação ao executar o código pela primeira vez, aguarde alguns instantes e tente novamente.

No portal do Azure, localize sua conta de armazenamento usando a barra de pesquisa principal ou a navegação à esquerda.
Na página de visão geral da conta de armazenamento, selecione Controle de acesso (IAM) no menu à esquerda.
Na página Controle de acesso (IAM), selecione a guia Atribuições de função.
Selecione + Adicionar no menu superior e, em seguida, Adicionar atribuição de função no menu suspenso resultante.
Use a caixa de pesquisa para filtrar os resultados para a função desejada. Para este exemplo, pesquise o Colaborador de Dados do Blob de Armazenamento e selecione o resultado correspondente e, em seguida, escolha Avançar.
Em Atribuir acesso a, selecione Usuário, grupo ou entidade de serviço e, em seguida, selecione + Selecionar membros.
No diálogo, pesquise seu nome de usuário do Microsoft Entra (geralmente seu endereço de email user@domain) e escolha Selecionar na parte inferior do diálogo.
Selecione Revisar + atribuir para ir para a página final e, em seguida, Revisar + atribuir novamente para concluir o processo.

Para atribuir uma função no nível do recurso usando a CLI do Azure, primeiro você deve recuperar a ID do recurso usando o comando az storage account show. É possível filtrar as propriedades de saída usando o parâmetro --query.

az storage account show --resource-group '<your-resource-group-name>' --name '<your-storage-account-name>' --query id

Copie a saída Id do comando anterior. Em seguida, você pode atribuir funções usando o comando az role da CLI do Azure.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Para atribuir uma função no nível do recurso usando o Azure PowerShell, primeiro você precisa recuperar a ID do recurso usando o comando Get-AzResource.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Copie o valor Id da saída do comando anterior. Em seguida, é possível atribuir funções usando o comando New-AzRoleAssignment no PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope <yourStorageAccountId>

Para desenvolvimento local, você deve estar autenticado com a mesma conta do Microsoft Entra à qual a função foi atribuída. Você pode autenticar por meio de ferramentas de desenvolvimento populares, como a CLI do Azure ou o Azure PowerShell. As ferramentas de desenvolvimento com as quais você pode autenticar variam entre os idiomas.

Entre no Azure por meio da CLI do Azure usando o seguinte comando:

az login

Você precisará instalar a CLI do Azure para trabalhar com DefaultAzureCredential pelo Visual Studio Code.

No menu principal do Visual Studio Code, navegue até Terminal > Novo Terminal.

Entre no Azure por meio da CLI do Azure usando o seguinte comando:

az login

Entre no Azure usando o PowerShell com o seguinte comando:

Connect-AzAccount

Em seguida, atualize seu código para usar conexões sem senha.

Para usar DefaultAzureCredential em um aplicativo .NET, instale o pacote Azure.Identity:
```
dotnet add package Azure.Identity
```
Na parte superior do seu arquivo, adicione o código a seguir:
```
using Azure.Identity;
```
Identifique os locais em seu código que criam um BlobServiceClient para se conectar ao Armazenamento de Blobs do Azure. Atualize o código para que ele corresponda ao seguinte exemplo:
```
DefaultAzureCredential credential = new();

BlobServiceClient blobServiceClient = new(
    new Uri($"https://{storageAccountName}.blob.core.windows.net"),
    credential);
```

Para usar DefaultAzureCredential em um aplicativo Go, instale o módulo azidentity:
```
go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
```

Na parte superior do seu arquivo, adicione o código a seguir:

import (
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
)

Identifique os locais no seu código que criam uma instância Client para se conectar ao Armazenamento de Blobs do Azure. Atualize o código para que ele corresponda ao seguinte exemplo:

cred, err := azidentity.NewDefaultAzureCredential(nil)
if err != nil {
    // handle error
}

serviceURL := fmt.Sprintf("https://%s.blob.core.windows.net", storageAccountName)
client, err := azblob.NewClient(serviceURL, cred, nil)
if err != nil {
    // handle error
}

Para usar DefaultAzureCredential em um aplicativo Java, instale o pacote azure-identity por meio de uma das seguintes abordagens:
1. Incluir o arquivo da BOM.
2. Incluir uma dependência direta.
Na parte superior do seu arquivo, adicione o código a seguir:
```
import com.azure.identity.DefaultAzureCredentialBuilder;
```

Identifique os locais em seu código que criam um objeto BlobServiceClient para se conectar ao Armazenamento de Blobs do Azure. Atualize o código para que ele corresponda ao seguinte exemplo:

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .build();
String endpoint = 
    String.format("https://%s.blob.core.windows.net", storageAccountName);

BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
    .endpoint(endpoint)
    .credential(credential)
    .buildClient();

Para usar DefaultAzureCredential em um aplicativo Node.js, instale o pacote @azure/identity:
```
npm install --save @azure/identity
```
Na parte superior do seu arquivo, adicione o código a seguir:
```
import { DefaultAzureCredential } from "@azure/identity";
```
Identifique os locais em seu código que criam um objeto BlobServiceClient para se conectar ao Armazenamento de Blobs do Azure. Atualize o código para que ele corresponda ao seguinte exemplo:
```
const credential = new DefaultAzureCredential();

const blobServiceClient = new BlobServiceClient(
  `https://${storageAccountName}.blob.core.windows.net`,
  credential
);    
```

Para usar DefaultAzureCredential em um aplicativo Python, instale o pacote azure-identity:
```
pip install azure-identity
```
Na parte superior do seu arquivo, adicione o código a seguir:
```
from azure.identity import DefaultAzureCredential
```
Identifique os locais em seu código que criam um objeto BlobServiceClient para se conectar ao Armazenamento de Blobs do Azure. Atualize o código para que ele corresponda ao seguinte exemplo:
```
credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
    account_url = "https://%s.blob.core.windows.net" % storage_account_name,
    credential = credential
)
```

Atualize o nome da conta de armazenamento no URI do BlobServiceClient. Você pode encontrar o nome da conta de armazenamento na página de visão geral do portal do Azure.

Executar o aplicativo localmente

Depois de fazer essas alterações de código, execute seu aplicativo localmente. A nova configuração deve selecionar suas credenciais locais, como a CLI do Azure, o Visual Studio ou o IntelliJ. As funções atribuídas ao usuário de desenvolvimento local no Azure permitem que seu aplicativo se conecte ao serviço do Azure localmente.

Configurar o ambiente de hospedagem do Azure

Depois que o aplicativo estiver configurado para usar conexões sem senha e for executado localmente, o mesmo código poderá ser autenticado nos serviços do Azure depois de implantado no Azure. As seções a seguir explicam como configurar um aplicativo implantado para se conectar ao Armazenamento de Blobs do Azure usando uma identidade gerenciada.

Criar a identidade gerenciada

Você pode criar uma identidade gerenciada atribuída pelo usuário usando o portal do Azure ou a CLI do Azure. Seu aplicativo usa a identidade para se autenticar em outros serviços.

Azure portal
CLI do Azure

Na parte superior do portal do Azure, pesquise Identidades gerenciadas. Selecione o resultado Identidades gerenciadas.
Selecione + Criar na parte superior da página de visão geral de Identidades gerenciadas.
Na guia Informações Básicas, insira os seguintes valores:
- Assinatura: selecione a assinatura desejada.
- Grupo de recursos: selecione o grupo de recursos desejado.
- Região: selecione uma região próxima à sua localização.
- Nome: insira um nome reconhecível para sua identidade, como MigrationIdentity.
Selecione Revisar + criar na parte inferior da página.
Quando as verificações de validação forem concluídas, selecione Criar. O Azure cria uma nova identidade atribuída pelo usuário.

Depois que o recurso for criado, selecione Ir para o recurso para exibir os detalhes da identidade gerenciada.

Use o comando az identity create para criar uma identidade gerenciada atribuída ao usuário:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Associar a identidade gerenciada ao seu aplicativo Web

Você precisa configurar seu aplicativo Web para usar a identidade gerenciada que você criou. Atribua a identidade ao seu aplicativo usando o portal do Azure ou a CLI do Azure.

Conclua as etapas a seguir no portal do Azure para associar uma identidade ao seu aplicativo. Essas mesmas etapas se aplicam aos seguintes serviços do Azure:

Azure Spring Apps
Aplicativos de Contêiner do Azure
Máquinas Virtuais do Azure
Serviço de Kubernetes do Azure

Navegue até a página de visão geral do seu aplicativo Web.
Selecione Identidade no painel de navegação esquerdo.
Na página Identidade, alterne para a guia Atribuída pelo usuário.
Selecione + Adicionar para abrir o submenu Adicionar identidade gerenciada atribuída pelo usuário.
Selecione a assinatura que você usou anteriormente para criar a identidade.
Pesquise a MigrationIdentity pelo nome e selecione-a nos resultados da pesquisa.
Selecione Adicionar para associar a identidade ao seu aplicativo.

Use os seguintes comandos da CLI do Azure para associar uma identidade ao seu aplicativo:

Recupere a ID da identidade gerenciada que você criou usando o comando az identity show. Copie o valor de saída para usar na próxima etapa.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Você pode atribuir uma identidade gerenciada a uma instância do Serviço de Aplicativo do Azure com o comando az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Você pode atribuir uma identidade gerenciada a uma instância de Aplicativos Spring do Azure com o comando az spring app identity assign.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Você pode atribuir uma identidade gerenciada a uma máquina virtual com o comando az containerapp identity assign.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Você pode atribuir uma identidade gerenciada a uma máquina virtual com o comando az vm identity assign.

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Você pode atribuir uma identidade gerenciada a uma instância do AKS (Serviço de Kubernetes do Azure) com o comando az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Você pode usar o Conector de Serviço para criar uma conexão entre um ambiente de hospedagem de computação do Azure e um serviço de destino usando a CLI do Azure. Os comandos da CLI do Conector de Serviço atribuem automaticamente a função adequada à sua identidade. Você pode saber mais sobre o Conector de Serviço e quais cenários têm suporte na página de visão geral.

Recupere a ID do cliente da identidade gerenciada que você criou usando o comando az identity show. Copie o valor para uso posterior.
```
az identity show --name MigrationIdentity --resource-group <your-resource-group> --query clientId
```

Use o comando da CLI apropriado para estabelecer a conexão de serviço:

Se você estiver usando um Serviço de Aplicativo do Azure, use o comando az webapp connection:

az webapp connection create storage-blob \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Se você estiver usando os Aplicativos Spring do Azure, use o comando az spring-cloud connection:

az spring-cloud connection create storage-blob \
    --resource-group <resource-group-name> \
    --service <service-instance-name> \
    --app <app-name> \
    --deployment <deployment-name> \
    --target-resource-group <target-resource-group> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Se você estiver usando os Aplicativos de Contêiner do Azure, use o comando az containerapp connection:

az containerapp connection create storage-blob \
    --resource-group <resource-group-name> \
    --name <containerapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Atribuir funções à identidade gerenciada

Em seguida, você precisa conceder permissões à identidade gerenciada criada para acessar sua conta de armazenamento. Conceda permissões atribuindo uma função à identidade gerenciada, assim como fez com o usuário de desenvolvimento local.

Navegue até a página de visão geral da conta de armazenamento e selecione Controle de Acesso (IAM) na navegação à esquerda.
Escolha Adicionar atribuição de função.
Na caixa de pesquisa Função, pesquise Contribuinte de dados de blobs de armazenamento, que é uma função comum usada para gerenciar operações de dados para blobs. Você pode atribuir qualquer função apropriada para seu caso de uso. Selecione o Colaborador de Dados do Blob de Armazenamento na lista e escolha Avançar.
Na tela Adicionar atribuição de função, para a opção Atribuir acesso à, selecione Identidade gerenciada. Em seguida, escolha +Selecionar membros.
No submenu, pesquise pelo nome a identidade gerenciada que você criou e selecione-a nos resultados. Escolha Selecionar para fechar o submenu.
Selecione Avançar algumas vezes até que você possa selecionar Revisão + atribuir para concluir a atribuição de função.

Para atribuir uma função no nível do recurso usando a CLI do Azure, primeiro você deve recuperar a ID do recurso usando o comando de exibição az storage account. É possível filtrar as propriedades de saída usando o parâmetro --query.

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Copie a ID de saída do comando anterior. Em seguida, você pode atribuir funções usando o comando az role assignment da CLI do Azure.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Atualize o código do aplicativo

Você precisa configurar o código do aplicativo para procurar a identidade gerenciada específica que você criou quando ela for implantada no Azure. Em alguns cenários, definir explicitamente a identidade gerenciada para o aplicativo também impede que outras identidades de ambiente sejam detectadas acidentalmente e usadas automaticamente.

Na página de visão geral da identidade gerenciada, copie o valor da ID do cliente para a área de transferência.
Aplicar as seguintes alterações específicas do idioma:
- .NET
- Go
- Java
- Node.js
- Python
Crie um objeto DefaultAzureCredentialOptions e passe-o para DefaultAzureCredential. Defina a propriedade ManagedIdentityClientId como ID do cliente.
```
DefaultAzureCredential credential = new(
    new DefaultAzureCredentialOptions
    {
        ManagedIdentityClientId = managedIdentityClientId
    });
```
Defina a variável de ambiente AZURE_CLIENT_ID como a ID do cliente de identidade gerenciada. DefaultAzureCredential lê essa variável de ambiente.
Chame o método managedIdentityClientId . Passe a ID do cliente para ele.
```
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .managedIdentityClientId(managedIdentityClientId)
    .build();
```
Crie um objeto DefaultAzureCredentialClientIdOptions com sua propriedade managedIdentityClientId definida como a ID do cliente. Passe esse objeto para o construtor DefaultAzureCredential.
```
const credential = new DefaultAzureCredential({
  managedIdentityClientId
});
```
Defina o parâmetro managed_identity_client_id do construtor DefaultAzureCredential como o ID do cliente.
```
credential = DefaultAzureCredential(
    managed_identity_client_id = managed_identity_client_id
)
```
Reimplante seu código no Azure depois de fazer essa alteração para que as atualizações de configuração sejam aplicadas.

Testar o aplicativo

Depois de implantar o código atualizado, navegue até o aplicativo hospedado no navegador. Seu aplicativo deve ser capaz de se conectar à conta de armazenamento com êxito. Lembre-se de que pode levar vários minutos para que as atribuições de função se propaguem pelo ambiente do Azure. Seu aplicativo agora está configurado para ser executado localmente e em um ambiente de produção sem que os desenvolvedores precisem gerenciar segredos no próprio aplicativo.

Próximas etapas

Neste tutorial, você aprendeu a migrar um aplicativo para conexões sem senha.

Você pode ler os seguintes recursos para explorar os conceitos discutidos neste artigo com mais detalhes:

Autorize o acesso a blobs usando o ID do Microsoft Entra
Para saber mais sobre o núcleo do .NET, confira Introdução ao .NET em 10 minutos.