Accedere ad Archiviazione di Azure da un'app Web usando le identità gestite

Informazioni su come accedere ad Archiviazione di Azure per un'app Web (non un utente connesso) in esecuzione nel servizio app di Azure usando identità gestite.

Si vuole aggiungere l'accesso al piano dati di Azure, ovvero Archiviazione di Azure, Database SQL di Azure, Azure Key Vault o altri servizi, dall'app Web. È possibile usare una chiave condivisa, ma in questo caso sarebbe necessario preoccuparsi della sicurezza operativa degli utenti che possono creare, distribuire e gestire il segreto. La chiave potrebbe inoltre essere archiviata in GitHub e i pirati informatici potrebbero quindi individuarla facilmente. Un modo più sicuro per concedere all'app Web l'accesso ai dati consiste nell'usare le identità gestite.

Un'identità gestita di Microsoft Entra ID consente al servizio app di accedere alle risorse tramite il controllo degli accessi in base al ruolo, senza richiedere le credenziali dell'app. Dopo aver assegnato un'identità gestita all'app Web, Azure si occupa della creazione e della distribuzione di un certificato. Gli utenti non devono preoccuparsi di gestire i segreti o le credenziali dell'app.

In questa esercitazione apprenderai a:

• Creare un'identità gestita assegnata dal sistema in un'app Web.
• Creare un account di archiviazione e un contenitore di Archiviazione BLOB di Azure.
• Accedere all'archiviazione da un'app Web usando identità gestite.

Se non si ha una sottoscrizione di Azure, creare un account Azure gratuito prima di iniziare.

Prerequisiti

• Un'applicazione Web in esecuzione nel Servizio app di Azure con il modulo di autenticazione/autorizzazione del servizio app abilitato.

Abilitare l'identità gestita in un'app

Se si crea e si pubblica l'app Web tramite Visual Studio, l'identità gestita è già stata abilitata automaticamente nell'app. Nel servizio app selezionare Identità nel riquadro sinistro e quindi selezionare Assegnata dal sistema. Verificare che lo Stato sia impostato su Sì. In caso contrario, selezionare Salva e quindi Sì per abilitare l'identità gestita assegnata dal sistema. Una volta abilitata l'identità gestita, lo stato è impostato su Sì e l'ID oggetto è disponibile.

Questo passaggio crea un nuovo ID oggetto, diverso dall'ID app creato nel riquadro Autenticazione/Autorizzazione. Copiare l'ID oggetto dell'identità gestita assegnata dal sistema. in quanto sarà necessario più avanti.

Creare un account di archiviazione e un contenitore di Archiviazione BLOB

A questo punto si è pronti per creare un account di archiviazione e un contenitore di Archiviazione BLOB.

Ogni account di archiviazione deve appartenere a un gruppo di risorse di Azure. Un gruppo di risorse è un contenitore logico per raggruppare i servizi di Azure. Quando si crea un account di archiviazione, è possibile creare un nuovo gruppo di risorse o usarne uno esistente. Questo articolo illustra come creare un nuovo gruppo di risorse.

Un account di archiviazione per utilizzo generico v2 consente l'accesso a tutti i servizi di Archiviazione di Azure: BLOB, file, code, tabelle e dischi. La procedura descritta qui crea un account di archiviazione per utilizzo generico v2, ma i passaggi per creare qualsiasi tipo di account di archiviazione sono simili.

I BLOB in Archiviazione di Azure sono organizzati in contenitori. Prima di poter caricare un BLOB più avanti in questa esercitazione, sarà necessario creare un contenitore.

Portale

Per creare un account di archiviazione per utilizzo generico v2 nel portale di Azure, seguire questa procedura.

1. Selezionare Tutti i servizi nel menu del portale di Azure. Nell'elenco delle risorse immettere Account di archiviazione. Quando si inizia a digitare, l'elenco viene filtrato in base all'input. Selezionare Account di archiviazione.

2. Nella finestra Account di archiviazione visualizzata, selezionare Crea.

3. Selezionare la sottoscrizione in cui creare l'account di archiviazione.

4. Nel menu a discesa del campo Gruppo di risorse selezionare il gruppo di risorse che contiene l'app Web.

5. Immettere quindi un nome per l'account di archiviazione. Il nome scelto deve essere univoco in Azure. Anche il nome deve avere una lunghezza compresa tra 3 e 24 caratteri e può includere solo numeri e lettere minuscole.

6. Selezionare la località per l'account di archiviazione o usare la località predefinita.

7. Selezionare Standard per l'opzione Prestazioni.

8. Per Ridondanza, selezionare l'opzione Archiviazione con ridondanza locale (LRS) nell'elenco a discesa.

9. Selezionare Rivedi per rivedere le impostazioni dell'account di archiviazione e creare l'account.

10. Seleziona Crea.

Per creare un contenitore di Archiviazione BLOB in Archiviazione di Azure, seguire questa procedura.

1. Passare al nuovo account di archiviazione nel portale di Azure.

2. Nel menu sinistro per l'account di archiviazione, scorrere fino alla sezione Archiviazione dati e quindi selezionare Contenitori.

3. Selezionare il pulsante + Contenitore.

4. Digitare un nome per il nuovo contenitore. Il nome del contenitore deve essere scritto tutto minuscolo, deve iniziare con una lettera o un numero e può contenere solo lettere, numeri e il trattino (-).

5. Impostare il livello di accesso pubblico al contenitore. Il livello predefinito è Privato (nessun accesso anonimo).

6. Selezionare Crea per creare il contenitore.

PowerShell

Per creare un account di archiviazione per utilizzo generico v2 e un contenitore di Archiviazione BLOB, eseguire lo script seguente. Specificare il nome del gruppo di risorse che contiene l'app Web. Immettere un nome per l'account di archiviazione. Il nome scelto deve essere univoco in Azure. Anche il nome deve avere una lunghezza compresa tra 3 e 24 caratteri e può includere solo numeri e lettere minuscole.

Specificare la località dell'account di archiviazione. Per visualizzare un elenco delle località valide per la sottoscrizione, eseguire Get-AzLocation | select Location. Il nome del contenitore deve essere scritto tutto minuscolo, deve iniziare con una lettera o un numero e può contenere solo lettere, numeri e il trattino (-).

Ricordare di sostituire i valori segnaposto tra parentesi acute con i valori personalizzati.

Connect-AzAccount

$resourceGroup = "securewebappresourcegroup"
$location = "<location>"
$storageName="securewebappstorage"
$containerName = "securewebappblobcontainer"

$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup `
  -Name $storageName `
  -Location $location `
  -SkuName Standard_RAGRS `
  -Kind StorageV2

$ctx = $storageAccount.Context

New-AzStorageContainer -Name $containerName -Context $ctx -Permission blob

Interfaccia della riga di comando di Azure

Per creare un account di archiviazione per utilizzo generico v2 e un contenitore di Archiviazione BLOB, eseguire lo script seguente. Specificare il nome del gruppo di risorse che contiene l'app Web. Immettere un nome per l'account di archiviazione. Il nome scelto deve essere univoco in Azure. Anche il nome deve avere una lunghezza compresa tra 3 e 24 caratteri e può includere solo numeri e lettere minuscole.

Specificare la località dell'account di archiviazione. Il nome del contenitore deve essere scritto tutto minuscolo, deve iniziare con una lettera o un numero e può contenere solo lettere, numeri e il trattino (-).

Nell'esempio seguente viene usato l'account Microsoft Entra per autorizzare l'operazione di creazione del contenitore. Prima di creare il contenitore, assegnare il ruolo Collaboratore ai dati dei BLOB di archiviazione a se stessi. Anche se si è il proprietario dell'account, sono necessarie autorizzazioni esplicite per eseguire operazioni sui dati nell'account di archiviazione.

Ricordare di sostituire i valori segnaposto tra parentesi acute con i valori personalizzati.

az login

az storage account create \
    --name securewebappstorage \
    --resource-group securewebappresourcegroup \
    --location <location> \
    --sku Standard_ZRS \
    --encryption-services blob

storageId=$(az storage account show -n securewebappstorage -g securewebappresourcegroup --query id --out tsv)

az ad signed-in-user show --query objectId -o tsv | az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee @- \
    --scope $storageId

az storage container create \
    --account-name securewebappstorage \
    --name securewebappblobcontainer \
    --auth-mode login

Concedere l'accesso all'account di archiviazione

Prima di poter creare, leggere o eliminare i BLOB, è necessario concedere all'app Web l'accesso all'account di archiviazione. In un passaggio precedente è stata configurata l'app Web in esecuzione nel servizio app con un'identità gestita. Usando il Controllo degli accessi in base al ruolo di Azure è possibile concedere all'identità gestita l'accesso a un'altra risorsa, come per qualsiasi entità di sicurezza. Il ruolo Collaboratore ai dati dei BLOB di archiviazione fornisce all'app Web, rappresentata dall'identità gestita assegnata dal sistema, l'accesso in lettura, scrittura ed eliminazione ai dati e al contenitore BLOB.

Nota

Alcune operazioni su contenitori BLOB privati non sono supportate dal controllo degli accessi in base al ruolo di Azure, ad esempio la visualizzazione di BLOB o la copia di BLOB tra account. Un contenitore BLOB con livello di accesso privato richiede un token di firma di accesso condiviso per qualsiasi operazione non autorizzata dal controllo degli accessi in base al ruolo di Azure. Per altre informazioni, vedere Quando usare una firma di accesso condiviso.

Portale

Nel portale di Azure passare all'account di archiviazione per concedere l'accesso all'app Web. Selezionare Controllo di accesso (IAM) e quindi Assegnazioni di ruolo. Verrà visualizzato un elenco di utenti che hanno accesso all'account di archiviazione. A questo punto si aggiungerà un'assegnazione di ruolo a un robot, il servizio app deve accedere all'account di archiviazione. Selezionare Aggiungi>Aggiungi assegnazione di ruolo per aprire la pagina Aggiungi assegnazione di ruolo.

1. Nella scheda Tipo di assegnazione, selezionare Tipo di funzione processo e quindi Avanti.

2. In Ruolo, selezionare il ruolo Collaboratore dati del BLOB di archiviazione, quindi selezionare Avanti.

3. Nella scheda Membri, selezionare Assegna l'accesso a ->Identità gestita e quindi selezionare Membri ->Seleziona membri. Nella finestra Seleziona identità gestite, individuare e selezionare l'identità gestita creata per il servizio app nell'elenco a discesa Identità gestita. Fare clic sul pulsante Seleziona.

4. Selezionare Rivedi e assegna e quindi selezionare Rivedi e assegna ancora una volta.

Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.

L'app Web può ora accedere all'account di archiviazione.

PowerShell

Eseguire lo script seguente per assegnare all'app Web, rappresentata da un'identità gestita assegnata dal sistema, il ruolo Collaboratore ai dati dei BLOB di archiviazione nell'account di archiviazione.

$resourceGroup = "securewebappresourcegroup"
$webAppName="SecureWebApp20201102125811"
$storageName="securewebappstorage"

$spID = (Get-AzWebApp -ResourceGroupName $resourceGroup -Name $webAppName).identity.principalid
$storageId= (Get-AzStorageAccount -ResourceGroupName $resourceGroup -Name $storageName).Id
New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Storage Blob Data Contributor" -Scope $storageId

Interfaccia della riga di comando di Azure

Eseguire lo script seguente per assegnare all'app Web, rappresentata da un'identità gestita assegnata dal sistema, il ruolo Collaboratore ai dati dei BLOB di archiviazione nell'account di archiviazione.

spID=$(az resource list -n SecureWebApp20201102125811 --query [*].identity.principalId --out tsv)

storageId=$(az storage account show -n securewebappstorage -g securewebappresourcegroup --query id --out tsv)

az role assignment create --assignee $spID --role 'Storage Blob Data Contributor' --scope $storageId

Accedere all'archiviazione BLOB

C#

La classe DefaultAzureCredential viene usata per ottenere le credenziali del token affinché il codice autorizzi le richieste al servizio di archiviazione di Azure. Creare un'istanza della classe DefaultAzureCredential, che usa l'identità gestita per recuperare i token e collegarli al client del servizio. L'esempio di codice seguente ottiene le credenziali del token autenticato e le usa per creare un oggetto client del servizio, che carica un nuovo BLOB.

Per vedere questo codice come parte di un'applicazione di esempio, vedere l'esempio in GitHub.

Installare i pacchetti della libreria client

Installare il pacchetto NuGet di archiviazione BLOB per usare l'archiviazione BLOB e la libreria client di Azure Identity per il pacchetto .NET NuGet per eseguire l'autenticazione con le credenziali di Microsoft Entra. Installare le librerie client usando l'interfaccia della riga di comando .NET (CLI) o la console di Gestione pacchetti in Visual Studio.

CLI .NET

Aprire una riga di comando e passare alla directory che contiene il file di progetto.

Eseguire i comandi di installazione.

dotnet add package Azure.Storage.Blobs

dotnet add package Azure.Identity

Console di gestione pacchetti

Aprire il progetto o la soluzione in Visual Studio, quindi aprire la console selezionando Strumenti>Gestione pacchetti NuGet>Console di Gestione pacchetti.

Eseguire i comandi di installazione.

Install-Package Azure.Storage.Blobs

Install-Package Azure.Identity

Esempio

using System;
using Azure.Storage.Blobs;
using Azure.Storage.Blobs.Models;
using System.Collections.Generic;
using System.Threading.Tasks;
using System.Text;
using System.IO;
using Azure.Identity;

// Some code omitted for brevity.

static public async Task UploadBlob(string accountName, string containerName, string blobName, string blobContents)
{
    // Construct the blob container endpoint from the arguments.
    string containerEndpoint = string.Format("https://{0}.blob.core.windows.net/{1}",
                                                accountName,
                                                containerName);

    // Get a credential and create a client object for the blob container.
    BlobContainerClient containerClient = new BlobContainerClient(new Uri(containerEndpoint),
                                                                    new DefaultAzureCredential());

    try
    {
        // Create the container if it does not exist.
        await containerClient.CreateIfNotExistsAsync();

        // Upload text to a new block blob.
        byte[] byteArray = Encoding.ASCII.GetBytes(blobContents);

        using (MemoryStream stream = new MemoryStream(byteArray))
        {
            await containerClient.UploadBlobAsync(blobName, stream);
        }
    }
    catch (Exception e)
    {
        throw e;
    }
}

Node.js

La classe DefaultAzureCredential del pacchetto @azure/identity viene usata per ottenere le credenziali token per il codice per autorizzare le richieste ad Archiviazione di Azure. La classe BlobServiceClient del pacchetto @azure/storage-blob viene usata per caricare un nuovo BLOB nell'archiviazione. Creare un'istanza della classe DefaultAzureCredential, che usa l'identità gestita per recuperare token e collegarli al client del servizio BLOB. L'esempio di codice seguente ottiene le credenziali del token autenticato e le usa per creare un oggetto client del servizio, che carica un nuovo BLOB.

Esempio

const { DefaultAzureCredential } = require("@azure/identity");
const { BlobServiceClient } = require("@azure/storage-blob");
const defaultAzureCredential = new DefaultAzureCredential();

// Some code omitted for brevity.

async function uploadBlob(accountName, containerName, blobName, blobContents) {
    const blobServiceClient = new BlobServiceClient(
        `https://${accountName}.blob.core.windows.net`,
        defaultAzureCredential
    );

    const containerClient = blobServiceClient.getContainerClient(containerName);

    try {
        await containerClient.createIfNotExists();
        const blockBlobClient = containerClient.getBlockBlobClient(blobName);
        const uploadBlobResponse = await blockBlobClient.upload(blobContents, blobContents.length);
        console.log(`Upload block blob ${blobName} successfully`, uploadBlobResponse.requestId);
    } catch (error) {
        console.log(error);
    }
}

Pulire le risorse

Se l'esercitazione è stata completata e l'app Web o le risorse associate non sono più necessarie, pulire le risorse create.

Passaggi successivi

Il servizio app accede a Microsoft Graph per conto dell'utente