Migrar um aplicativo para usar conexões sem senha com o Armazenamento de Blobs do Azure

As solicitações de aplicativos para serviços do Azure devem ser autenticadas usando configurações, como chaves de acesso de conta ou conexões sem senha. No entanto, você deve priorizar conexões sem senha em seus aplicativos quando possível. Os métodos de autenticação tradicionais que usam senhas ou chaves secretas criam riscos e complicações de segurança. Visite as conexões sem senha para o hub de serviços do Azure para saber mais sobre as vantagens de mudar para conexões sem senha.

O tutorial a seguir explica como migrar um aplicativo existente para se conectar usando conexões sem senha. Essas mesmas etapas de migração devem ser aplicadas se você estiver usando chaves de acesso, cadeias de conexão ou outra abordagem baseada em segredos.

Configurar funções e usuários para autenticação de desenvolvimento local

Ao desenvolver localmente, certifique-se de que a conta de usuário que está acessando dados de blob tenha as permissões corretas. Você precisará do Storage Blob Data Contributor para ler e gravar dados de blob. Para atribuir essa função a si mesmo, você precisará receber a função de Administrador de Acesso de Usuário ou outra função que inclua a ação Microsoft.Authorization/roleAssignments/write. Você pode atribuir funções do RBAC do Azure a um usuário usando o portal do Azure, a CLI do Azure ou o Azure PowerShell. Você pode saber mais sobre os escopos disponíveis para atribuições de função na página de visão geral do escopo.

Nesse cenário, você atribuirá permissões à sua conta de usuário, com escopo para a conta de armazenamento, para seguir o Princípio do Menor Privilégio. Essa prática oferece aos usuários apenas as permissões mínimas necessárias e cria ambientes de produção mais seguros.

O exemplo a seguir atribuirá a função de Colaborador de Dados de Blob de Armazenamento à sua conta de usuário, que fornece acesso de leitura e gravação aos dados de blob em sua conta de armazenamento.

Importante

Na maioria dos casos, levará um ou dois minutos para que a atribuição de função se propague no Azure, mas, em casos raros, pode levar até oito minutos. Se você receber erros de autenticação quando executar o código pela primeira vez, aguarde alguns momentos e tente novamente.

Portal do Azure

1. No portal do Azure, localize sua conta de armazenamento usando a barra de pesquisa principal ou a navegação à esquerda.

2. Na página de visão geral da conta de armazenamento, selecione Controle de acesso (IAM) no menu à esquerda.

3. Na página Controle de acesso (IAM), selecione a guia Atribuições de função.

4. Selecione + Adicionar no menu superior e, em seguida, Adicionar atribuição de função no menu suspenso resultante.

   

5. Use a caixa de pesquisa para filtrar os resultados para a função desejada. Para este exemplo, procure por Storage Blob Data Contributor e selecione o resultado correspondente e, em seguida, escolha Next.

6. Em Atribuir acesso a, selecione Utilizador, grupo ou entidade de serviço e, em seguida, selecione + Selecionar membros.

7. Na caixa de diálogo, procure seu nome de usuário do Microsoft Entra (geralmente seu endereço de e-mail user@domain ) e escolha Selecionar na parte inferior da caixa de diálogo.

8. Selecione Rever + atribuir para ir para a página final e, em seguida, Rever + atribuir novamente para concluir o processo.

CLI do Azure

Para atribuir uma função no nível de recurso usando a CLI do Azure, primeiro você deve recuperar a id do recurso usando o az storage account show comando. Você pode filtrar as propriedades de saída usando o --query parâmetro.

az storage account show --resource-group '<your-resource-group-name>' --name '<your-storage-account-name>' --query id

Copie a saída Id do comando anterior. Em seguida, você pode atribuir funções usando o comando az role da CLI do Azure.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

PowerShell

Para atribuir uma função no nível de recurso usando o Azure PowerShell, primeiro você deve recuperar a ID do recurso usando o Get-AzResource comando.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Copie o Id valor da saída do comando anterior. Em seguida, você pode atribuir funções usando o comando New-AzRoleAssignment no PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope <yourStorageAccountId>

Inicie sessão e migre o código da aplicação para utilizar ligações sem palavra-passe

Para desenvolvimento local, certifique-se de que está autenticado com a mesma conta do Microsoft Entra à qual atribuiu a função. Você pode autenticar por meio de ferramentas de desenvolvimento populares, como a CLI do Azure ou o Azure PowerShell. As ferramentas de desenvolvimento com as quais você pode autenticar variam entre os idiomas.

CLI do Azure

Entre no Azure por meio da CLI do Azure usando o seguinte comando:

az login

Visual Studio

Selecione o botão Entrar no canto superior direito do Visual Studio.

Entre usando a conta do Microsoft Entra à qual você atribuiu uma função anteriormente.

Visual Studio Code

Você precisará instalar a CLI do Azure para trabalhar com DefaultAzureCredential o Visual Studio Code.

No menu principal do Visual Studio Code, navegue até Terminal New Terminal>.

Entre no Azure por meio da CLI do Azure usando o seguinte comando:

az login

PowerShell

Entre no Azure usando o PowerShell por meio do seguinte comando:

Connect-AzAccount

Em seguida, atualize seu código para usar conexões sem senha.

.NET

1. Para usar DefaultAzureCredential em um aplicativo .NET, instale o Azure.Identity pacote:

   dotnet add package Azure.Identity
   

2. Na parte superior do ficheiro, adicione o seguinte código:

   using Azure.Identity;
   

3. Identifique os locais em seu código que criam um BlobServiceClient para se conectar ao Armazenamento de Blobs do Azure. Atualize seu código para corresponder ao exemplo a seguir:

   DefaultAzureCredential credential = new();
   
   BlobServiceClient blobServiceClient = new(
       new Uri($"https://{storageAccountName}.blob.core.windows.net"),
       credential);
   

Ir

1. Para usar DefaultAzureCredential em um aplicativo Go, instale o azidentity módulo:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. Na parte superior do ficheiro, adicione o seguinte código:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Identifique os locais em seu código que criam uma Client instância para se conectar ao Armazenamento de Blobs do Azure. Atualize seu código para corresponder ao exemplo a seguir:

   cred, err := azidentity.NewDefaultAzureCredential(nil)
   if err != nil {
       // handle error
   }
   
   serviceURL := fmt.Sprintf("https://%s.blob.core.windows.net", storageAccountName)
   client, err := azblob.NewClient(serviceURL, cred, nil)
   if err != nil {
       // handle error
   }
   

Java

1. Para usar DefaultAzureCredential em uma aplicação Java, instale o azure-identity pacote através de uma das seguintes abordagens:

   1. Inclua o arquivo BOM.
   2. Inclua uma dependência direta.

2. Na parte superior do ficheiro, adicione o seguinte código:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Identifique os locais em seu código que criam um BlobServiceClient objeto para se conectar ao Armazenamento de Blobs do Azure. Atualize seu código para corresponder ao exemplo a seguir:

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .build();
   String endpoint = 
       String.format("https://%s.blob.core.windows.net", storageAccountName);
   
   BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
       .endpoint(endpoint)
       .credential(credential)
       .buildClient();
   

Node.js

1. Para usar DefaultAzureCredential em um aplicativo .js nó, instale o @azure/identity pacote:

   npm install --save @azure/identity
   

2. Na parte superior do ficheiro, adicione o seguinte código:

   import { DefaultAzureCredential } from "@azure/identity";
   

3. Identifique os locais em seu código que criam um BlobServiceClient objeto para se conectar ao Armazenamento de Blobs do Azure. Atualize seu código para corresponder ao exemplo a seguir:

   const credential = new DefaultAzureCredential();
   
   const blobServiceClient = new BlobServiceClient(
     `https://${storageAccountName}.blob.core.windows.net`,
     credential
   );    
   

Python

1. Para usar DefaultAzureCredential em um aplicativo Python, instale o azure-identity pacote:

   pip install azure-identity
   

2. Na parte superior do ficheiro, adicione o seguinte código:

   from azure.identity import DefaultAzureCredential
   

3. Identifique os locais em seu código que criam um BlobServiceClient objeto para se conectar ao Armazenamento de Blobs do Azure. Atualize seu código para corresponder ao exemplo a seguir:

   credential = DefaultAzureCredential()
   
   blob_service_client = BlobServiceClient(
       account_url = "https://%s.blob.core.windows.net" % storage_account_name,
       credential = credential
   )
   

4. Certifique-se de atualizar o nome da conta de armazenamento no URI do .BlobServiceClient Você pode encontrar o nome da conta de armazenamento na página de visão geral do portal do Azure.

   

Executar a aplicação localmente

Depois de fazer essas alterações de código, execute seu aplicativo localmente. A nova configuração deve pegar suas credenciais locais, como a CLI do Azure, Visual Studio ou IntelliJ. As funções que você atribuiu ao seu usuário de desenvolvimento local no Azure permitem que seu aplicativo se conecte ao serviço do Azure localmente.

Configurar o ambiente de hospedagem do Azure

Depois que seu aplicativo estiver configurado para usar conexões sem senha e for executado localmente, o mesmo código poderá ser autenticado nos serviços do Azure depois de implantado no Azure. As seções a seguir explicam como configurar um aplicativo implantado para se conectar ao Armazenamento de Blobs do Azure usando uma identidade gerenciada.

Criar a identidade gerenciada

Você pode criar uma identidade gerenciada atribuída pelo usuário usando o portal do Azure ou a CLI do Azure. Seu aplicativo usa a identidade para autenticar em outros serviços.

Portal do Azure

1. Na parte superior do portal do Azure, procure identidades gerenciadas. Selecione o resultado Identidades gerenciadas.
2. Selecione + Criar na parte superior da página de visão geral de Identidades Gerenciadas .
3. Na guia Noções básicas, insira os seguintes valores:
   • Assinatura: Selecione a assinatura desejada.
   • Grupo de recursos: selecione o grupo de recursos desejado.
   • Região: selecione uma região perto da sua localização.
   • Nome: insira um nome reconhecível para sua identidade, como MigrationIdentity.
4. Selecione Rever + criar na parte inferior da página.
5. Quando as verificações de validação terminarem, selecione Criar. O Azure cria uma nova identidade atribuída pelo usuário.

Depois que o recurso for criado, selecione Ir para o recurso para exibir os detalhes da identidade gerenciada.

CLI do Azure

Use o comando az identity create para criar uma identidade gerenciada atribuída pelo usuário:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Associar a identidade gerenciada ao seu aplicativo Web

Você precisa configurar seu aplicativo Web para usar a identidade gerenciada que você criou. Atribua a identidade ao seu aplicativo usando o portal do Azure ou a CLI do Azure.

Portal do Azure

Conclua as etapas a seguir no portal do Azure para associar uma identidade ao seu aplicativo. Estas mesmas etapas se aplicam aos seguintes serviços do Azure:

• Azure Spring Apps
• Azure Container Apps
• Máquinas virtuais do Azure
• Azure Kubernetes Service

1. Navegue até a página de visão geral do seu aplicativo Web.

2. Selecione Identidade na navegação à esquerda.

3. Na página Identidade, alterne para a guia Usuário atribuído.

4. Selecione + Adicionar para abrir o submenu Adicionar identidade gerenciada atribuída ao usuário.

5. Selecione a assinatura usada anteriormente para criar a identidade.

6. Procure a MigrationIdentity pelo nome e selecione-a nos resultados da pesquisa.

7. Selecione Adicionar para associar a identidade ao seu aplicativo.

   

CLI do Azure

Use os seguintes comandos da CLI do Azure para associar uma identidade ao seu aplicativo:

Recupere a ID da identidade gerenciada que você criou usando o comando az identity show . Copie o valor de saída para usar na próxima etapa.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Serviço de Aplicações do Azure

Você pode atribuir uma identidade gerenciada a uma instância do Serviço de Aplicativo do Azure com o comando az webapp identity assign .

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Azure Spring Apps

Você pode atribuir uma identidade gerenciada a uma instância do Azure Spring Apps com o comando az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Aplicativos de contêiner do Azure

Você pode atribuir uma identidade gerenciada a uma máquina virtual com o comando az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Máquinas virtuais do Azure

Você pode atribuir uma identidade gerenciada a uma máquina virtual com o comando az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Azure Kubernetes Service

Você pode atribuir uma identidade gerenciada a uma instância do Serviço Kubernetes do Azure (AKS) com o comando az aks update .

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Conector de serviço

Você pode usar o Service Connector para criar uma conexão entre um ambiente de hospedagem de computação do Azure e um serviço de destino usando a CLI do Azure. Os comandos da CLI do Service Connector atribuem automaticamente a função adequada à sua identidade. Você pode saber mais sobre o Service Connector e quais cenários são suportados na página de visão geral.

1. Recupere a ID do cliente da identidade gerenciada que você criou usando o az identity show comando. Copie o valor para uso posterior.

   az identity show --name MigrationIdentity --resource-group <your-resource-group> --query clientId
   

2. Use o comando apropriado da CLI para estabelecer a conexão de serviço:

   Serviço de Aplicações do Azure

   Se você estiver usando um Serviço de Aplicativo do Azure, use o comando az webapp connection :

   az webapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Se você estiver usando o Azure Spring Apps, use o comando az spring-cloud connection :

   az spring-cloud connection create storage-blob \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Aplicativos de contêiner do Azure

   Se você estiver usando os Aplicativos de Contêiner do Azure, use o comando az containerapp connection :

   az containerapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Atribuir funções à identidade gerenciada

Em seguida, você precisa conceder permissões à identidade gerenciada criada para acessar sua conta de armazenamento. Conceda permissões atribuindo uma função à identidade gerenciada, assim como fez com seu usuário de desenvolvimento local.

Portal do Azure

1. Navegue até a página de visão geral da conta de armazenamento e selecione Controle de acesso (IAM) na navegação à esquerda.

2. Escolha Adicionar atribuição de função

   

3. Na caixa Pesquisa de função, procure por Colaborador de Dados de Blob de Armazenamento, que é uma função comum usada para gerenciar operações de dados para blobs. Você pode atribuir qualquer função apropriada para seu caso de uso. Selecione o Colaborador de Dados de Blob de Armazenamento na lista e escolha Avançar.

4. Na tela Adicionar atribuição de função, para a opção Atribuir acesso a, selecione Identidade gerenciada. Em seguida, escolha +Selecionar membros.

5. No submenu, procure a identidade gerenciada criada pelo nome e selecione-a nos resultados. Escolha Selecionar para fechar o menu suspenso.

   

6. Selecione Avançar algumas vezes até conseguir selecionar Revisar + atribuir para concluir a atribuição de função.

CLI do Azure

Para atribuir uma função no nível de recurso usando a CLI do Azure, primeiro você deve recuperar a ID do recurso usando o comando az storage account show. Você pode filtrar as propriedades de saída usando o --query parâmetro.

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Copie o ID de saída do comando anterior. Em seguida, você pode atribuir funções usando o comando az role assignment da CLI do Azure.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Conector de serviço

Se você conectou seus serviços usando o Service Connector, não precisará concluir esta etapa. As configurações de função necessárias foram manipuladas para você quando você executou os comandos da CLI do Service Connector.

Atualizar o código do aplicativo

Você precisa configurar o código do aplicativo para procurar a identidade gerenciada específica que você criou quando ele é implantado no Azure. Em alguns cenários, definir explicitamente a identidade gerenciada para o aplicativo também impede que outras identidades de ambiente sejam acidentalmente detetadas e usadas automaticamente.

1. Na página de visão geral da identidade gerenciada, copie o valor da ID do cliente para a área de transferência.

2. Aplique as seguintes alterações específicas do idioma:

   .NET

   Crie um DefaultAzureCredentialOptions objeto e passe-o para DefaultAzureCredential. Defina a propriedade ManagedIdentityClientId como a ID do cliente.

   DefaultAzureCredential credential = new(
       new DefaultAzureCredentialOptions
       {
           ManagedIdentityClientId = managedIdentityClientId
       });
   

   Ir

   Defina a AZURE_CLIENT_ID variável de ambiente como o ID do cliente de identidade gerenciada. DefaultAzureCredential lê esta variável de ambiente.

   Java

   Chame o método managedIdentityClientId . Passe o ID do cliente para ele.

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .managedIdentityClientId(managedIdentityClientId)
       .build();
   

   Node.js

   Crie um DefaultAzureCredentialClientIdOptions objeto com sua propriedade managedIdentityClientId definida como a ID do cliente. Passe esse objeto para o DefaultAzureCredential construtor.

   const credential = new DefaultAzureCredential({
     managedIdentityClientId
   });
   

   Python

   Defina o parâmetro managed_identity_client_id do construtor para o DefaultAzureCredential ID do cliente.

   credential = DefaultAzureCredential(
       managed_identity_client_id = managed_identity_client_id
   )
   

3. Reimplante seu código no Azure depois de fazer essa alteração para que as atualizações de configuração sejam aplicadas.

Testar a aplicação

Depois de implantar o código atualizado, navegue até o aplicativo hospedado no navegador. Seu aplicativo deve ser capaz de se conectar à conta de armazenamento com êxito. Lembre-se de que pode levar vários minutos para que as atribuições de função se propaguem pelo seu ambiente do Azure. Seu aplicativo agora está configurado para ser executado localmente e em um ambiente de produção sem que os desenvolvedores tenham que gerenciar segredos no próprio aplicativo.

Próximos passos

Neste tutorial, você aprendeu como migrar um aplicativo para conexões sem senha.

Você pode ler os seguintes recursos para explorar os conceitos discutidos neste artigo com mais profundidade:

• Autorizar o acesso a blobs usando o Microsoft Entra ID
• Para saber mais sobre o .NET Core, veja Introdução ao .NET em 10 minutos.