Migrowanie aplikacji do używania połączeń bez hasła z usługą Azure Blob Storage

Żądania aplikacji do usług platformy Azure muszą być uwierzytelniane przy użyciu konfiguracji, takich jak klucze dostępu do konta lub połączenia bez hasła. Jednak w miarę możliwości należy określić priorytety połączeń bez hasła w aplikacjach. Tradycyjne metody uwierzytelniania korzystające z haseł lub kluczy tajnych tworzą zagrożenia bezpieczeństwa i komplikacje. Odwiedź centrum połączeń bez hasła dla usług platformy Azure, aby dowiedzieć się więcej o zaletach przechodzenia na połączenia bez hasła.

W poniższym samouczku wyjaśniono, jak przeprowadzić migrację istniejącej aplikacji w celu nawiązania połączenia przy użyciu połączeń bez hasła. Te same kroki migracyjne powinny mieć zastosowanie niezależnie od tego, czy używasz kluczy dostępu, ciągów połączeń, czy innego podejścia opartego na tajnych danych.

Konfigurowanie ról i użytkowników na potrzeby uwierzytelniania programowania lokalnego

Podczas tworzenia aplikacji lokalnie upewnij się, że konto użytkownika, które uzyskuje dostęp do danych obiektów blob, ma odpowiednie uprawnienia. Będziesz potrzebować roli Współautor danych obiektu blob, aby odczytywać i zapisywać dane obiektów blob. Aby przypisać sobie tę rolę, musisz mieć przypisaną rolę Administratora dostępu użytkowników lub inną rolę obejmującą akcję Microsoft.Authorization/roleAssignments/write . Role RBAC platformy Azure można przypisać użytkownikowi przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell. Więcej informacji na temat dostępnych zakresów przypisań ról można znaleźć na stronie przeglądu zakresu.

W tym scenariuszu przypiszesz uprawnienia do swojego konta użytkownika, ograniczone do konta magazynu, aby postępować zgodnie z zasadą najmniejszych uprawnień. Ta praktyka zapewnia użytkownikom tylko minimalne wymagane uprawnienia i tworzy bezpieczniejsze środowiska produkcyjne.

W poniższym przykładzie do konta użytkownika zostanie przypisana rola Storage Blob Data Contributor, która zapewnia zarówno dostęp do odczytu, jak i zapisu do danych obiektu blob na koncie magazynu.

Ważne

W większości przypadków propagacja przypisania roli na platformie Azure potrwa minutę lub dwie, ale w rzadkich przypadkach może upłynąć do ośmiu minut. Jeśli podczas pierwszego uruchomienia kodu wystąpią błędy uwierzytelniania, zaczekaj chwilę i spróbuj ponownie.

W portalu Azure znajdź swoje konto usługi magazynowej, używając głównego paska wyszukiwania lub nawigacji po lewej stronie.
Na stronie głównej konta magazynowego wybierz pozycję Kontrola dostępu (IAM) z menu po lewej stronie.
Na stronie Kontrola dostępu (IAM) wybierz kartę Przypisania ról.
Wybierz + Dodaj z górnego menu, a następnie Dodaj przypisanie roli z wyświetlonego menu rozwijanego.
Użyj pola wyszukiwania, aby filtrować wyniki do żądanej roli. W tym przykładzie wyszukaj Storage Blob Data Contributor i wybierz pasujący wynik, a następnie wybierz Dalej.
W obszarze Przypisz dostęp do wybierz pozycję Użytkownik, grupa lub jednostka usługi, a następnie wybierz pozycję + Wybierz członków.
W oknie dialogowym wyszukaj nazwę użytkownika firmy Microsoft Entra (zazwyczaj adres e-mail user@domain ), a następnie wybierz pozycję Wybierz w dolnej części okna dialogowego.
Wybierz pozycję Przejrzyj i przypisz , aby przejść do ostatniej strony, a następnie ponownie przejrzyj i przypisz, aby ukończyć proces.

Aby przypisać rolę na poziomie zasobu przy użyciu interfejsu wiersza polecenia platformy Azure, należy najpierw pobrać identyfikator zasobu przy użyciu az storage account show polecenia . Właściwości wyjściowe można filtrować przy użyciu parametru --query .

az storage account show --resource-group '<your-resource-group-name>' --name '<your-storage-account-name>' --query id

Skopiuj dane wyjściowe Id z poprzedniego polecenia. Następnie możesz przypisać role przy użyciu polecenia az role interfejsu wiersza polecenia platformy Azure.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Aby przypisać rolę na poziomie zasobu przy użyciu programu Azure PowerShell, należy najpierw pobrać identyfikator zasobu przy użyciu Get-AzResource polecenia .

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Skopiuj wartość Id z poprzednich danych wyjściowych polecenia. Następnie można przypisać role przy użyciu polecenia New-AzRoleAssignment w programie PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope <yourStorageAccountId>

W przypadku programowania lokalnego upewnij się, że uwierzytelniasz się przy użyciu tego samego konta Microsoft Entra, do którego przypisano rolę. Możesz uwierzytelnić się za pomocą popularnych narzędzi programistycznych, takich jak interfejs wiersza polecenia platformy Azure lub program Azure PowerShell. Narzędzia programistyczne, za pomocą których można się uwierzytelniać, różnią się w zależności od języka.

Zaloguj się do platformy Azure za pomocą interfejsu wiersza polecenia platformy Azure przy użyciu następującego polecenia:

az login

Aby pracować z programem Visual Studio Code, musisz DefaultAzureCredential platformy Azure.

W menu głównym programu Visual Studio Code przejdź do Terminal > Nowy terminal.

Zaloguj się do platformy Azure za pomocą interfejsu wiersza polecenia platformy Azure przy użyciu następującego polecenia:

az login

Zaloguj się do platformy Azure przy użyciu programu PowerShell za pomocą następującego polecenia:

Connect-AzAccount

Następnie zaktualizuj kod, aby używał połączeń bez hasła.

Aby użyć DefaultAzureCredential w aplikacji .NET, zainstaluj Azure.Identity pakiet:
```
dotnet add package Azure.Identity
```
W górnej części pliku dodaj następujący kod:
```
using Azure.Identity;
```
Zidentyfikuj lokalizacje w kodzie, które tworzą BlobServiceClient do połączenia z usługą Azure Blob Storage. Zaktualizuj kod, aby był zgodny z następującym przykładem:
```
DefaultAzureCredential credential = new();

BlobServiceClient blobServiceClient = new(
    new Uri($"https://{storageAccountName}.blob.core.windows.net"),
    credential);
```

Aby użyć DefaultAzureCredential w aplikacji Go, zainstaluj moduł azidentity:
```
go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
```

W górnej części pliku dodaj następujący kod:

import (
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
)

Zidentyfikuj lokalizacje w kodzie, które tworzą instancję Client do połączenia z usługą Azure Blob Storage. Zaktualizuj kod, aby był zgodny z następującym przykładem:

cred, err := azidentity.NewDefaultAzureCredential(nil)
if err != nil {
    // handle error
}

serviceURL := fmt.Sprintf("https://%s.blob.core.windows.net", storageAccountName)
client, err := azblob.NewClient(serviceURL, cred, nil)
if err != nil {
    // handle error
}

Aby użyć DefaultAzureCredential w aplikacji Java, zainstaluj pakiet azure-identity jedną z poniższych metod:
1. Uwzględnij BOM plik.
2. Uwzględnij zależność bezpośrednią.

W górnej części pliku dodaj następujący kod:

import com.azure.identity.DefaultAzureCredentialBuilder;

Zidentyfikuj lokalizacje w swoim kodzie, które tworzą obiekt BlobServiceClient w celu połączenia z Azure Blob Storage. Zaktualizuj kod, aby był zgodny z następującym przykładem:

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .build();
String endpoint = 
    String.format("https://%s.blob.core.windows.net", storageAccountName);

BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
    .endpoint(endpoint)
    .credential(credential)
    .buildClient();

Aby użyć DefaultAzureCredential w aplikacji Node.js, zainstaluj @azure/identity pakiet:
```
npm install --save @azure/identity
```

W górnej części pliku dodaj następujący kod:

import { DefaultAzureCredential } from "@azure/identity";

Zidentyfikuj lokalizacje w kodzie, które tworzą obiekt do nawiązania połączenia z usługą Azure Blob Storage BlobServiceClient. Zaktualizuj kod, aby był zgodny z następującym przykładem:
```
const credential = new DefaultAzureCredential();

const blobServiceClient = new BlobServiceClient(
  `https://${storageAccountName}.blob.core.windows.net`,
  credential
);    
```

Aby użyć DefaultAzureCredential w aplikacji języka Python, zainstaluj azure-identity pakiet:
```
pip install azure-identity
```

W górnej części pliku dodaj następujący kod:

from azure.identity import DefaultAzureCredential

Zidentyfikuj lokalizacje w kodzie, które tworzą obiekt BlobServiceClient, aby połączyć się z Azure Blob Storage. Zaktualizuj kod, aby był zgodny z następującym przykładem:

credential = DefaultAzureCredential()

blob_service_client = BlobServiceClient(
    account_url = "https://%s.blob.core.windows.net" % storage_account_name,
    credential = credential
)

Pamiętaj, aby zaktualizować nazwę konta magazynowego w identyfikatorze URI elementu BlobServiceClient. Nazwę konta magazynu można znaleźć na stronie przeglądowej portalu Azure.

Lokalne uruchamianie aplikacji

Po wprowadzeniu tych zmian w kodzie uruchom aplikację lokalnie. Nowa konfiguracja powinna wykrywać twoje lokalne poświadczenia, takie jak Azure CLI, Visual Studio lub IntelliJ. Role przypisane do lokalnego użytkownika deweloperskiego na platformie Azure umożliwiają aplikacji nawiązywanie połączenia z usługą platformy Azure lokalnie.

Konfigurowanie środowiska hostingu platformy Azure

Po skonfigurowaniu aplikacji do korzystania z połączeń bez hasła i uruchamianiu lokalnie ten sam kod może uwierzytelniać się w usługach platformy Azure po jej wdrożeniu na platformie Azure. W poniższych sekcjach opisano sposób konfigurowania wdrożonej aplikacji w celu nawiązania połączenia z usługą Azure Blob Storage przy użyciu tożsamości zarządzanej.

Tworzenie tożsamości zarządzanej

Tożsamość zarządzaną przypisaną przez użytkownika można utworzyć przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure. Aplikacja używa tożsamości do uwierzytelniania w innych usługach.

Portal Azure
Interfejs wiersza polecenia platformy Azure

Na górze portalu Azure wyszukaj Zarządzane tożsamości. Wybierz wynik Tożsamości Zarządzanych.
Wybierz pozycję + Utwórz w górnej części strony przeglądu tożsamości zarządzanych .
Na karcie Podstawy wprowadź następujące wartości:
- Subskrypcja: wybierz żądaną subskrypcję.
- Grupa zasobów: wybierz żądaną grupę zasobów.
- Region: wybierz region w pobliżu lokalizacji.
- Nazwa: wprowadź rozpoznawalną nazwę tożsamości, taką jak MigrationIdentity.
Wybierz pozycję Przejrzyj i utwórz w dolnej części strony.
Po zakończeniu sprawdzania poprawności wybierz pozycję Utwórz. Platforma Azure tworzy nową tożsamość przypisaną przez użytkownika.

Po utworzeniu zasobu wybierz pozycję Przejdź do zasobu , aby wyświetlić szczegóły tożsamości zarządzanej.

Użyj polecenia az identity create, aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Kojarzenie tożsamości zarządzanej z aplikacją internetową

Musisz skonfigurować aplikację internetową tak, aby korzystała z utworzonej tożsamości zarządzanej. Przypisz tożsamość do aplikacji przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.

Wykonaj następujące kroki w witrynie Azure Portal, aby skojarzyć tożsamość z aplikacją. Te same kroki dotyczą następujących usług platformy Azure:

Azure Spring Apps
Aplikacje Kontenerowe Azure
Maszyny wirtualne platformy Azure
Azure Kubernetes Service

Przejdź do strony przeglądu aplikacji internetowej.
Wybierz pozycję Tożsamość z lewego menu nawigacyjnego.
Na stronie Tożsamość przejdź do karty Przypisane przez użytkownika.
Wybierz + Dodaj, aby otworzyć okno wysuwane Dodawanie tożsamości zarządzanej przypisanej przez użytkownika.
Wybierz subskrypcję użytą wcześniej do utworzenia tożsamości.
Wyszukaj pozycję MigrationIdentity według nazwy i wybierz ją z wyników wyszukiwania.
Wybierz pozycję Dodaj , aby skojarzyć tożsamość z aplikacją.

Użyj następujących poleceń interfejsu wiersza polecenia platformy Azure, aby skojarzyć tożsamość z aplikacją:

Pobierz identyfikator tożsamości zarządzanej, utworzonej za pomocą polecenia az identity show. Skopiuj wartość wyjściową do użycia w następnym kroku.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Do wystąpienia usługi Azure App Service można przypisać tożsamość zarządzaną za pomocą polecenia az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Zarządzaną tożsamość można przypisać do wystąpienia usługi Azure Spring Apps przy użyciu polecenia az spring app identity assign.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Tożsamość zarządzaną można przypisać do maszyny wirtualnej za pomocą polecenia az containerapp identity assign.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Możesz przypisać tożsamość zarządzaną do maszyny wirtualnej za pomocą polecenia az vm identity assign.

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Tożsamość zarządzaną można przypisać do wystąpienia usługi Azure Kubernetes Service (AKS) korzystając z polecenia az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Łącznik usług umożliwia utworzenie połączenia między środowiskiem hostingu obliczeniowego platformy Azure i usługą docelową przy użyciu interfejsu wiersza polecenia platformy Azure. Polecenia CLI łącznika usługi automatycznie przypisują odpowiednią rolę dla twojej tożsamości. Możesz dowiedzieć się więcej o łączniku usługi Service Connector i obsługiwanych scenariuszach na stronie przeglądu.

Pobierz identyfikator klienta tożsamości zarządzanej utworzonej za pomocą polecenia az identity show. Skopiuj wartość, aby móc ją później wykorzystać.
```
az identity show --name MigrationIdentity --resource-group <your-resource-group> --query clientId
```

Użyj odpowiedniego polecenia CLI, aby nawiązać połączenie z usługą.

Jeśli używasz usługi Azure App Service, użyj polecenia az webapp connection:

az webapp connection create storage-blob \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Jeśli używasz usługi Azure Spring Apps, użyj polecenia az spring connection :

az spring connection create storage-blob \
    --resource-group <resource-group-name> \
    --service <service-instance-name> \
    --app <app-name> \
    --deployment <deployment-name> \
    --target-resource-group <target-resource-group> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Jeśli używasz usługi Azure Container Apps, użyj polecenia az containerapp connection :

az containerapp connection create storage-blob \
    --resource-group <resource-group-name> \
    --name <containerapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-storage-account-name> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Przypisywanie ról do tożsamości zarządzanej

Następnie musisz przyznać uprawnienia do tożsamości zarządzanej, którą utworzyłeś, aby uzyskać dostęp do konta magazynowego. Udziel uprawnień, przypisując rolę do tożsamości zarządzanej, podobnie jak w przypadku lokalnego użytkownika dewelopera.

Przejdź do strony informacji ogólnych konta magazynu i wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) z menu po lewej stronie.
Wybierz pozycję Dodaj przypisanie roli
W polu wyszukiwania Rola wyszukaj pozycję Współautor danych obiektu blob usługi Storage, która jest wspólną rolą służącą do zarządzania operacjami danych dla obiektów blob. Możesz przypisać dowolną rolę odpowiednią dla danego przypadku użycia. Wybierz Współtwórca danych usługi Azure Blob Storage z listy, a następnie wybierz Dalej.
Na ekranie Dodawanie przypisania roli, dla opcji Przypisz dostęp do, wybierz Tożsamość zarządzaną. Następnie wybierz pozycję +Wybierz członków.
W oknie wysuwanym wyszukaj tę tożsamość zarządzaną utworzoną według nazwy i wybierz ją z wyników. Wybierz pozycję Wybierz , aby zamknąć menu wysuwane.
Wybierz Dalej kilka razy, aż będzie można wybrać Przejrzyj i przypisz, aby zakończyć przypisanie roli.

Aby przypisać rolę na poziomie zasobu za pomocą interfejsu wiersza poleceń Azure CLI, najpierw należy pobrać identyfikator zasobu używając polecenia az storage account show. Właściwości wyjściowe można filtrować przy użyciu parametru --query .

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Skopiuj identyfikator wyjściowy z poprzedniego polecenia. Następnie możesz przypisać role przy użyciu polecenia az role assignment w Azure CLI.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Aktualizowanie kodu aplikacji

Należy skonfigurować kod aplikacji, aby wyszukać określoną tożsamość zarządzaną utworzoną podczas wdrażania na platformie Azure. W niektórych scenariuszach jawne ustawienie tożsamości zarządzanej dla aplikacji zapobiega również przypadkowemu wykryciu i automatycznemu użyciu innych tożsamości środowiska.

Na stronie przeglądu tożsamości zarządzanej skopiuj wartość identyfikatora klienta do schowka.
Zastosuj następujące zmiany specyficzne dla języka:
- .NET
- Przejdź
- Java
- Node.js
- Python
Utwórz obiekt DefaultAzureCredentialOptions i przekaż go do DefaultAzureCredential. Ustaw właściwość ManagedIdentityClientId na identyfikator klienta.
```
DefaultAzureCredential credential = new(
    new DefaultAzureCredentialOptions
    {
        ManagedIdentityClientId = managedIdentityClientId
    });
```
Ustaw zmienną AZURE_CLIENT_ID środowiskową na identyfikator klienta tożsamości zarządzanej. DefaultAzureCredential odczytuje tę zmienną środowiskową.
Wywołaj metodę managedIdentityClientId . Przekaż do niego identyfikator klienta.
```
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .managedIdentityClientId(managedIdentityClientId)
    .build();
```
DefaultAzureCredentialClientIdOptions Utwórz obiekt z właściwością managedIdentityClientId ustawioną na identyfikator klienta. Przekaż ten obiekt do konstruktora DefaultAzureCredential .
```
const credential = new DefaultAzureCredential({
  managedIdentityClientId
});
```
Ustaw parametr managed_identity_client_id konstruktora DefaultAzureCredential na identyfikator klienta.
```
credential = DefaultAzureCredential(
    managed_identity_client_id = managed_identity_client_id
)
```
Ponownie wdróż kod na platformie Azure po wprowadzeniu tej zmiany w celu zastosowania aktualizacji konfiguracji.

Testowanie aplikacji

Po wdrożeniu zaktualizowanego kodu przejdź do hostowanej aplikacji w przeglądarce. Aplikacja powinna pomyślnie nawiązać połączenie z kontem magazynu. Należy pamiętać, że propagowanie przypisań ról za pośrednictwem środowiska platformy Azure może potrwać kilka minut. Aplikacja jest teraz skonfigurowana do uruchamiania zarówno lokalnie, jak i w środowisku produkcyjnym, bez konieczności dla programistów zarządzania wpisami tajnymi w samej aplikacji.

Następne kroki

W tym samouczku przedstawiono sposób migrowania aplikacji do połączeń bez hasła.

Aby zapoznać się z pojęciami omówionymi w tym artykule, zapoznaj się z następującymi zasobami:

Autoryzowanie dostępu do obiektów blob przy użyciu identyfikatora Entra firmy Microsoft
Aby dowiedzieć się więcej na temat platformy .NET Core, zobacz Get started with .NET in 10 minutes (Rozpoczynanie pracy z platformą .NET w 10 minut).

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-04-10

Udostępnij przez

Migrowanie aplikacji do używania połączeń bez hasła z usługą Azure Blob Storage

Konfigurowanie ról i użytkowników na potrzeby uwierzytelniania programowania lokalnego

Logowanie się i migrowanie kodu aplikacji w celu korzystania z połączeń bez hasła

Lokalne uruchamianie aplikacji

Konfigurowanie środowiska hostingu platformy Azure

Tworzenie tożsamości zarządzanej

Kojarzenie tożsamości zarządzanej z aplikacją internetową

Przypisywanie ról do tożsamości zarządzanej

Aktualizowanie kodu aplikacji

Testowanie aplikacji

Następne kroki

Sprzężenie zwrotne

Dodatkowe źródła