Migración de una aplicación para usar conexiones sin contraseña con Azure Blob Storage

Las solicitudes de aplicación a servicios de Azure se deben autenticar mediante configuraciones como claves de acceso de cuenta o conexiones sin contraseña. Sin embargo, debe priorizar las conexiones sin contraseña en las aplicaciones siempre que sea posible. Los métodos de autenticación tradicionales que usan contraseñas o claves secretas crean riesgos y complicaciones de seguridad. Visite el centro de Conexiones sin contraseña para servicios de Azure para obtener más información sobre las ventajas de pasar a conexiones sin contraseña.

El siguiente tutorial explica cómo migrar una aplicación existente para conectarse mediante conexiones sin contraseña. Estos mismos pasos de migración deben aplicarse si usa claves de acceso, cadenas de conexión u otro enfoque basado en secretos.

Configuración de roles y usuarios para la autenticación de desarrollo local

Al desarrollar localmente, asegúrese de que la cuenta de usuario que accede a los datos de blob tenga los permisos correctos. Necesitará el Colaborador de datos de blobs de almacenamiento para leer y escribir datos de blob. Para asignarse este rol a sí mismo, necesitará que se le asigne el rol Administrador de acceso de usuario u otro rol que incluya la acción Microsoft.Authorization/roleAssignments/write. Puede asignar roles RBAC de Azure a un usuario mediante Azure Portal, la CLI de Azure o Azure PowerShell. Puede obtener más información sobre los ámbitos disponibles para las asignaciones de roles en la página de información general del ámbito.

En este escenario, asignará permisos a la cuenta de usuario, cuyo ámbito es la cuenta de almacenamiento, a fin de seguir el principio de privilegios mínimos. Esta práctica solo proporciona a los usuarios los permisos mínimos necesarios y crea entornos de producción más seguros.

En el ejemplo siguiente se asignará el rol Colaborador de datos de blobs de almacenamiento a la cuenta de usuario, que proporciona acceso de lectura y escritura a los datos de blobs de la cuenta de almacenamiento.

Importante

En la mayoría de los casos, la asignación de roles tardará un minuto o dos en propagarse en Azure, pero en casos excepcionales puede tardar hasta ocho minutos. Si recibe errores de autenticación al ejecutar por primera vez el código, espere unos instantes e inténtelo de nuevo.

Azure Portal

1. En Azure Portal, busque la cuenta de almacenamiento mediante la barra de búsqueda principal o el panel de navegación de la izquierda.

2. En la página de información general de la cuenta de almacenamiento, seleccione Control de acceso (IAM) en el menú de la izquierda.

3. En la página Control de acceso (IAM), seleccione la pestaña Asignación de roles.

4. Seleccione + Agregar en el menú superior y, a continuación, Agregar asignación de roles en el menú desplegable resultante.

   

5. Puede usar el cuadro de búsqueda para filtrar los resultados por el rol deseado. En este ejemplo, busque Colaborador de datos de blobs de almacenamiento y seleccione el resultado coincidente y, a continuación, elija Siguiente.

6. En la pestaña Asignar acceso a, seleccione Usuario, grupo o entidad de servicio y, a continuación, elija + Seleccionar miembros.

7. En el cuadro de diálogo, busque el nombre de usuario de Microsoft Entra (normalmente su dirección de correo electrónico de user@domain) y, a continuación, elija Seleccionar en la parte inferior del cuadro de diálogo.

8. Seleccione Revisar y asignar para ir a la página final y, a continuación, de nuevo Revisar y asignar para completar el proceso.

CLI de Azure

Para asignar un rol en el nivel de recurso mediante la CLI de Azure, primero debe recuperar el id. de recurso mediante el comando az storage account show. Puede filtrar las propiedades de salida mediante el parámetro --query.

az storage account show --resource-group '<your-resource-group-name>' --name '<your-storage-account-name>' --query id

Copie la salida Id del comando anterior. A continuación, puede asignar roles mediante el comando az role de la CLI de Azure.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

PowerShell

Para asignar un rol en el nivel de recurso mediante Azure PowerShell, primero debe recuperar el Id. de recurso mediante el comando Get-AzResource.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Copie el valor Id de la salida del comando anterior. A continuación, puede asignar roles mediante el comando New-AzRoleAssignment en PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope <yourStorageAccountId>

Inicio de sesión y migración del código de la aplicación para usar conexiones sin contraseña

En el caso del desarrollo local, asegúrese de realizar la autenticación con la misma cuenta de Microsoft Entra a la que ha asignado el rol. Puede autenticarse a través de herramientas de desarrollo populares, como la CLI de Azure o Azure PowerShell. Las herramientas de desarrollo con las que puede autenticarse varían en todos los idiomas.

CLI de Azure

Inicie sesión en Azure a través de la CLI de Azure mediante el siguiente comando:

az login

Visual Studio

Seleccione el botón Iniciar sesión en la parte superior derecha de Visual Studio.

Inicie sesión con la cuenta de Microsoft Entra a la que asignó un rol anteriormente.

Visual Studio Code

Hay que instalar la CLI de Azure para trabajar con DefaultAzureCredential mediante Visual Studio Code.

En el menú principal de Visual Studio Code, vaya a Terminal > Nueva terminal.

Inicie sesión en Azure a través de la CLI de Azure mediante el siguiente comando:

az login

PowerShell

Inicie sesión en Azure mediante PowerShell a través del siguiente comando:

Connect-AzAccount

A continuación, actualice el código para usar conexiones sin contraseña.

.NET

1. Para usar DefaultAzureCredential en una aplicación .NET, instale el paquete Azure.Identity:

   dotnet add package Azure.Identity
   

2. En la parte superior del archivo, agregue el código siguiente:

   using Azure.Identity;
   

3. Identifique las ubicaciones del código que crean un BlobServiceClient para conectarse a Azure Blob Storage. Actualice su código para que coincida con el ejemplo siguiente:

   DefaultAzureCredential credential = new();
   
   BlobServiceClient blobServiceClient = new(
       new Uri($"https://{storageAccountName}.blob.core.windows.net"),
       credential);
   

Go

1. Para usar DefaultAzureCredential en una aplicación Go, instale el módulo azidentity:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. En la parte superior del archivo, agregue el código siguiente:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Identifique las ubicaciones del código que crean una instancia Client para conectarse a Azure Blob Storage. Actualice su código para que coincida con el ejemplo siguiente:

   cred, err := azidentity.NewDefaultAzureCredential(nil)
   if err != nil {
       // handle error
   }
   
   serviceURL := fmt.Sprintf("https://%s.blob.core.windows.net", storageAccountName)
   client, err := azblob.NewClient(serviceURL, cred, nil)
   if err != nil {
       // handle error
   }
   

Java

1. Para usar DefaultAzureCredential en una aplicación Java, instale el paquete azure-identity mediante uno de los métodos siguientes:

   1. Inclusión del archivo BOM.
   2. Inclusión de una dependencia directas.

2. En la parte superior del archivo, agregue el código siguiente:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Identifique las ubicaciones del código que crean un objeto BlobServiceClient para conectarse a Azure Blob Storage. Actualice su código para que coincida con el ejemplo siguiente:

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .build();
   String endpoint = 
       String.format("https://%s.blob.core.windows.net", storageAccountName);
   
   BlobServiceClient blobServiceClient = new BlobServiceClientBuilder()
       .endpoint(endpoint)
       .credential(credential)
       .buildClient();
   

Node.js

1. Para usar DefaultAzureCredential en una aplicación Node.js, instale el paquete @azure/identity:

   npm install --save @azure/identity
   

2. En la parte superior del archivo, agregue el código siguiente:

   import { DefaultAzureCredential } from "@azure/identity";
   

3. Identifique las ubicaciones del código que crean un objeto BlobServiceClient para conectarse a Azure Blob Storage. Actualice su código para que coincida con el ejemplo siguiente:

   const credential = new DefaultAzureCredential();
   
   const blobServiceClient = new BlobServiceClient(
     `https://${storageAccountName}.blob.core.windows.net`,
     credential
   );    
   

Python

1. Para usar DefaultAzureCredential en una aplicación Python, instale el paquete azure-identity:

   pip install azure-identity
   

2. En la parte superior del archivo, agregue el código siguiente:

   from azure.identity import DefaultAzureCredential
   

3. Identifique las ubicaciones del código que crean un objeto BlobServiceClient para conectarse a Azure Blob Storage. Actualice su código para que coincida con el ejemplo siguiente:

   credential = DefaultAzureCredential()
   
   blob_service_client = BlobServiceClient(
       account_url = "https://%s.blob.core.windows.net" % storage_account_name,
       credential = credential
   )
   

4. Asegúrese de actualizar el nombre de la cuenta de almacenamiento en el URI de BlobServiceClient. El nombre de la cuenta de almacenamiento se puede encontrar en la página de información general de Azure Portal.

   

Ejecución de la aplicación de forma local

Después de realizar estos cambios de código, ejecute la aplicación localmente. La nueva configuración debe recoger las credenciales locales, como la CLI de Azure, Visual Studio o IntelliJ. Los roles que asigne al usuario de desarrollo local en Azure permitirán a la aplicación conectarse al servicio de Azure localmente.

Configuración del entorno de hospedaje de Azure

Una vez que la aplicación se ha configurado para usar conexiones sin contraseña y se ejecuta localmente, el mismo código se puede autenticar en los servicios de Azure después de implementarla en Azure. En las secciones siguientes se explica cómo configurar una aplicación implementada para conectarse a Azure Blob Storage mediante una identidad administrada.

Creación de la identidad administrada

Puede crear una identidad administrada asignada por el usuario mediante el Azure Portal o la CLI de Azure. La aplicación usa la identidad para autenticarse en otros servicios.

Azure Portal

1. En la parte superior del Azure Portal, busque Identidades administradas. Seleccione el resultado de Identidades administradas.
2. Seleccione + Crear en la parte superior de la página de información general de Identidades administradas.
3. En la pestaña Datos básicos, escriba los valores siguientes:
   • Suscripción: Seleccione la opción de suscripción que desee.
   • Grupo de recursos: Seleccione el grupo de recursos deseado.
   • Región: seleccione una región cercana a su ubicación.
   • Nombre: Escriba un nombre reconocible para la identidad, como MigrationIdentity.
4. En la parte inferior de la página, seleccione Revisar y crear.
5. Cuando finalicen las comprobaciones de validación, seleccione Crear. Azure crea una nueva identidad asignada por el usuario.

Una vez creado el recurso, seleccione Ir al recurso para ver los detalles de la identidad administrada.

CLI de Azure

Use el comando az identity create para crear una identidad administrada asignada por el usuario:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Asociación de la identidad administrada a la aplicación web

Debe configurar la aplicación web para usar la identidad administrada que ha creado. Asigne la identidad a la aplicación mediante el Azure Portal o la CLI de Azure.

Azure Portal

Complete los pasos siguientes en el Azure Portal para asociar una identidad a la aplicación. Estos mismos pasos se aplican a los siguientes servicios de Azure:

• Azure Spring Apps
• Azure Container Apps
• Máquinas virtuales de Azure
• Azure Kubernetes Service

1. Vaya a la página de información general de la aplicación web.

2. En el menú de navegación de la izquierda, seleccione Identidad.

3. En la página Identidad, cambie a la pestaña Asignado por el usuario.

4. Seleccione + Agregar para abrir el control flotante Agregar identidad administrada asignada por el usuario.

5. Seleccione la suscripción que usó anteriormente para crear la identidad.

6. Busque MigrationIdentity por nombre y selecciónelo en los resultados de la búsqueda.

7. Seleccione Agregar para asociar la identidad a la aplicación.

   

CLI de Azure

Use los siguientes comandos de la CLI de Azure para asociar una identidad a la aplicación:

Recupere el id. de la identidad administrada que creó mediante el comando az identity show. Copie el valor de salida que se usará en el paso siguiente.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Azure App Service

Puede asignar una identidad administrada a una instancia de Azure App Service con el comando az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Azure Spring Apps

Puede asignar una identidad administrada a una instancia de Azure Spring Apps con el comando az spring app identity assign.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Azure Container Apps

Puede asignar una identidad administrada a una máquina virtual con el comando az containerapp identity assign.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Máquinas virtuales de Azure

Puede asignar una identidad administrada a una máquina virtual con el comando az vm identity assign.

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Azure Kubernetes Service

Puede asignar una identidad administrada a una instancia de Azure Kubernetes Service (AKS) con el comando az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Conector de servicio

Puede usar un conector de servicio para crear una conexión entre un entorno de hospedaje de proceso de Azure y un servicio de destino mediante la CLI de Azure. Los comandos de la CLI de Service Connector asignan automáticamente el rol adecuado a la identidad. Puede obtener más información sobre el conector de servicio y los escenarios que se admiten en la página de información general.

1. Recupere el id. de cliente de la identidad administrada que creó mediante el comando az identity show. Copie el valor para su uso posterior.

   az identity show --name MigrationIdentity --resource-group <your-resource-group> --query clientId
   

2. Use el comando de la CLI adecuado para establecer la conexión de servicio:

   Azure App Service

   Si usa un Azure App Service, use el comando az webapp connection:

   az webapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Si usa Azure Spring Apps, use el comando az spring connection:

   az spring connection create storage-blob \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Container Apps

   Si usa Azure Container Apps, use el comando az containerapp connection:

   az containerapp connection create storage-blob \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Asignación de roles a la identidad administrada

A continuación, debe conceder permisos a la identidad administrada que ha creado para acceder a la cuenta de almacenamiento. Conceda permisos mediante la asignación de un rol a la identidad administrada, tal como hizo con el usuario de desarrollo local.

Azure Portal

1. Vaya a la página de información general de la cuenta de almacenamiento y seleccione Access Control (IAM) en el panel de navegación de la izquierda.

2. Elija Agregar asignación de roles

   

3. En el cuadro de búsqueda Rol, busque Colaborador de datos de blobs de almacenamiento, que es un rol común que se usa para administrar las operaciones de datos para blobs. Puede asignar cualquier rol que sea adecuado para el caso de uso. Seleccione Colaborador de datos de blobs de almacenamiento en la lista y elija Siguiente.

4. En la pantalla Agregar asignación de roles, en la opción Asignar acceso a, seleccione Identidad administrada. A continuación, elija +Seleccionar miembros.

5. En el control flotante, busque la identidad administrada que creó por nombre y selecciónela en los resultados. Elija Seleccionar para cerrar el menú del control flotante.

   

6. Seleccione Siguiente un par de veces hasta que pueda seleccionar Revisar y asignar para finalizar la asignación de roles.

CLI de Azure

Para asignar un rol en el nivel de recurso mediante la CLI de Azure, primero debe recuperar el id. de recurso mediante el comando para mostrar az storage account. Puede filtrar las propiedades de salida mediante el parámetro --query.

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Copie el id. de salida del comando anterior. A continuación, puede asignar roles mediante el comando az role assignment de la CLI de Azure.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Blob Data Contributor" \
    --scope "<your-resource-id>"

Conector de servicio

Si ha conectado los servicios por medio de Service Connector, no es necesario realizar este paso. Las configuraciones de rol necesarias se controlaron por usted cuando ejecutó los comandos de la CLI de Service Connector.

Actualización del código de la aplicación

Debe configurar el código de la aplicación para buscar la identidad administrada específica que creó cuando se implemente en Azure. En algunos escenarios, establecer explícitamente la identidad administrada para la aplicación también impide que otras identidades del entorno se detecten y usen automáticamente.

1. En la página de información general de la identidad administrada, copie el valor del id. de cliente en el Portapapeles.

2. Aplique los siguientes cambios específicos de idioma:

   .NET

   Cree un objeto DefaultAzureCredentialOptions y páselo a DefaultAzureCredential. Establezca la propiedad ManagedIdentityClientId en el identificador de cliente.

   DefaultAzureCredential credential = new(
       new DefaultAzureCredentialOptions
       {
           ManagedIdentityClientId = managedIdentityClientId
       });
   

   Go

   Establezca la variable de entorno AZURE_CLIENT_ID en el identificador de cliente de identidad administrada. DefaultAzureCredential lee esta variable de entorno.

   Java

   Llame al método managedIdentityClientId. Pásele el identificador de cliente.

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .managedIdentityClientId(managedIdentityClientId)
       .build();
   

   Node.js

   Cree un objeto DefaultAzureCredentialClientIdOptions con su propiedad managedIdentityClientId establecida en el identificador de cliente. Pase ese objeto al constructor DefaultAzureCredential.

   const credential = new DefaultAzureCredential({
     managedIdentityClientId
   });
   

   Python

   Establezca el parámetro managed_identity_client_id del constructor DefaultAzureCredential en el identificador de cliente.

   credential = DefaultAzureCredential(
       managed_identity_client_id = managed_identity_client_id
   )
   

3. Vuelva a implementar el código en Azure después de realizar este cambio para que se apliquen las actualizaciones de configuración.

Prueba de la aplicación

Después de implementar el código actualizado, vaya a la aplicación hospedada en el explorador. La aplicación debe poder conectarse correctamente a la cuenta de almacenamiento. Tenga en cuenta que las asignaciones de roles pueden tardar varios minutos en propagarse a través del entorno de Azure. Ahora la aplicación está configurada para ejecutarse localmente y en un entorno de producción sin que los desarrolladores tengan que administrar los secretos en la propia aplicación.

Pasos siguientes

En este tutorial, ha aprendido a migrar una aplicación a conexiones sin contraseña.

Puede leer los siguientes recursos para explorar los conceptos que se describen en este artículo con más detalle:

• Autorización del acceso a blobs mediante Microsoft Entra ID
• Para más información sobre .NET Core, consulte Get started with .NET in 10 minutes (Introducción a .NET en 10 minutos).