Compartilhar via


Autenticar aplicativos hospedados no Azure para recursos do Azure com o SDK do Azure para Go

Quando você hospeda um aplicativo no Azure usando serviços como Serviço de Aplicativo do Azure, Máquinas Virtuais do Azure ou Instâncias de Contêiner do Azure, a abordagem recomendada para autenticar um aplicativo nos recursos do Azure é com identidade gerenciada.

Uma identidade gerenciada fornece uma identidade para seu aplicativo de modo que ele possa se conectar a outros recursos do Azure sem a necessidade de usar uma chave secreta ou outro segredo do aplicativo. Internamente, o Azure sabe a identidade do seu aplicativo e a quais recursos ele tem permissão para se conectar. O Azure usa essas informações para obter automaticamente tokens do Microsoft Entra para o aplicativo para permitir que ele se conecte a outros recursos do Azure, tudo sem que você precise gerenciar segredos do aplicativo.

Nota

Aplicativos em execução no AKS (Serviço de Kubernetes do Azure) podem usar uma identidade de carga de trabalho para autenticar com recursos do Azure. No AKS, uma identidade de carga de trabalho representa uma relação de confiança entre uma identidade gerenciada e uma conta de serviço do Kubernetes. Se um aplicativo implantado no AKS estiver configurado com uma conta de serviço do Kubernetes em tal relação, DefaultAzureCredential autentica o aplicativo no Azure usando a identidade gerenciada. A autenticação usando uma identidade de carga de trabalho é discutida em Usar a ID de carga de trabalho do Microsoft Entra com o Serviço de Kubernetes do Azure. Para obter etapas sobre como configurar a identidade da carga de trabalho, consulte Implantar e configurar a identidade da carga de trabalho em um cluster do AKS (Serviço de Kubernetes do Azure).

Tipos de identidade gerenciada

Há dois tipos de identidades gerenciadas:

  • identidades gerenciadas atribuídas pelo sistema – esse tipo de identidade gerenciada é fornecido e vinculado diretamente a um recurso do Azure. Ao habilitar a identidade gerenciada em um recurso do Azure, você obtém uma identidade gerenciada atribuída pelo sistema para esse recurso. Uma identidade gerenciada atribuída pelo sistema está vinculada ao ciclo de vida do recurso do Azure ao qual está associada. Quando o recurso é excluído, o Azure exclui automaticamente a identidade para você. Como tudo o que você precisa fazer é habilitar a identidade gerenciada para o recurso do Azure que hospeda seu código, essa abordagem é o tipo mais fácil de identidade gerenciada a ser usada.
  • identidades gerenciadas atribuídas pelo usuário – você também pode criar uma identidade gerenciada como um recurso autônomo do Azure. Essa abordagem é usada com mais frequência quando sua solução tem várias cargas de trabalho executadas em vários recursos do Azure que precisam compartilhar a mesma identidade e as mesmas permissões. Por exemplo, se sua solução tiver componentes que são executados em várias instâncias do Serviço de Aplicativo e de máquina virtual que precisam de acesso ao mesmo conjunto de recursos do Azure, uma identidade gerenciada atribuída pelo usuário usada nesses recursos fará sentido.

Este artigo aborda as etapas para habilitar e usar uma identidade gerenciada atribuída pelo sistema para um aplicativo. Se você precisar usar uma identidade gerenciada atribuída pelo usuário, consulte o artigo Gerenciar identidades gerenciadas atribuídas pelo usuário para ver como criar uma identidade gerenciada atribuída pelo usuário.

1 – Habilitar a identidade gerenciada no recurso do Azure que hospeda o aplicativo

A primeira etapa é habilitar a identidade gerenciada no recurso do Azure que hospeda seu aplicativo. Por exemplo, se você estiver hospedando um aplicativo Gin usando aplicativos de contêiner do Azure, será necessário habilitar a identidade gerenciada para o aplicativo de contêiner. Se você estiver usando uma máquina virtual para hospedar seu aplicativo, você habilitaria sua VM a usar a identidade gerenciada.

Você pode habilitar a identidade gerenciada a ser usada para um recurso do Azure usando o portal do Azure ou a CLI do Azure.

Os comandos da CLI do Azure podem ser executados no do Azure Cloud Shell ou em uma estação de trabalho com a CLI do Azure instalada.

Os comandos da CLI do Azure usados para habilitar a identidade gerenciada para um recurso do Azure são do formulário az <command-group> identity --resource-group <resource-group-name> --name <resource-name>. Comandos específicos para serviços populares do Azure são mostrados abaixo.

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <container-app-name> \
    --system-assigned

A saída será semelhante à seguinte.

{
  "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "type": "SystemAssigned",
  "userAssignedIdentities": null
}

O valor principalId é a ID exclusiva da identidade gerenciada. Mantenha uma cópia dessa saída, pois você precisará desses valores na próxima etapa.

2 – Atribuir funções à identidade gerenciada

Em seguida, você precisa determinar quais funções (permissões) seu aplicativo precisa e atribuir a identidade gerenciada a essas funções no Azure. Uma identidade gerenciada pode ser atribuída a funções em um recurso, grupo de recursos ou escopo de assinatura. Este exemplo mostra como atribuir funções no escopo do grupo de recursos, já que a maioria dos aplicativos agrupa todos os recursos do Azure em um único grupo de recursos.

Uma identidade gerenciada recebe uma função no Azure usando o comando az role assignment create. Para o destinatário, use o principalId que você copiou na etapa 1.

az role assignment create --assignee {managedIdentityprincipalId} \
    --scope /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} \
    --role "{roleName}" 

Para obter os nomes de função aos quais uma entidade de serviço pode ser atribuída, use o comando az role definition list.

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

Por exemplo, para permitir que a identidade gerenciada com o ID de aaaaaaaa-bbbb-cccc-1111-222222222222 leitura, gravação e exclusão acesse os contêineres do Azure Storage Blob e os dados em todas as contas de armazenamento no grupo de recursos nome-do-seu-grupo-de-recursos na assinatura com ID aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e, você deve atribuir a entidade de serviço do aplicativo à função de Colaborador de dados de blob de armazenamento usando o comando a seguir.

az role assignment create --assignee aaaaaaaa-bbbb-cccc-1111-222222222222 \
    --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/your-resource-group-name \
    --role "Storage Blob Data Contributor"

Para obter informações sobre como atribuir permissões no nível do recurso ou da assinatura usando a CLI do Azure, consulte o artigo Atribuir funções do Azure usando a CLI do Azure.

3 – Implementar DefaultAzureCredential em seu aplicativo

Quando o código está em execução no Azure e a identidade gerenciada foi habilitada no recurso do Azure que hospeda seu aplicativo, o DefaultAzureCredential determina as credenciais a serem usadas na seguinte ordem:

  1. Verifique o ambiente em busca de uma entidade de serviço, conforme definido pelas variáveis de ambiente AZURE_CLIENT_ID, AZURE_TENANT_ID e AZURE_CLIENT_SECRET ou AZURE_CLIENT_CERTIFICATE_PATH e AZURE_CLIENT_CERTIFICATE_PASSWORD (opcional).
  2. Verifique a variável de ambiente AZURE_CLIENT_ID para a ID do cliente de uma identidade gerenciada atribuída pelo usuário.
  3. Use a identidade gerenciada atribuída pelo sistema para o recurso do Azure se ele estiver habilitado.

Neste artigo, estamos usando a identidade gerenciada atribuída pelo sistema para um Aplicativo de Contêiner do Azure, portanto, não precisamos configurar uma identidade gerenciada no ambiente ou passá-la como um parâmetro. As etapas a seguir mostram como usar DefaultAzureCredential.

Primeiro, adicione o pacote azidentity ao seu aplicativo.

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

Em seguida, para qualquer código Go que instancie um cliente do SDK do Azure em seu aplicativo, você desejará:

  1. Importe o pacote azidentity.
  2. Crie uma instância do tipo DefaultAzureCredential.
  3. Passe a instância do tipo DefaultAzureCredential para o construtor do cliente do SDK do Azure.

Um exemplo dessas etapas é mostrado no segmento de código a seguir com um cliente de Blob de Armazenamento do Azure.

import (
	"context"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
    // create a credential
    cred, err := azidentity.NewDefaultAzureCredential(nil)
    if err != nil {
      // TODO: handle error
    }
    
    // create a client for the specified storage account
    client, err := azblob.NewClient(account, cred, nil)
    if err != nil {
      // TODO: handle error
    }
    
    // TODO: perform some action with the azblob Client
    // _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}

Conforme discutido no artigo Visão geral da autenticação do SDK do Azure para Go, DefaultAzureCredential dá suporte a vários métodos de autenticação e determina o método de autenticação que está sendo usado em tempo de execução. O benefício dessa abordagem é que seu aplicativo pode usar diferentes métodos de autenticação em ambientes diferentes sem implementar código específico do ambiente. Quando o código anterior for executado em sua estação de trabalho durante o desenvolvimento local, DefaultAzureCredential usará uma entidade de serviço de aplicativo, conforme determinado pelas configurações do ambiente, ou credenciais da ferramenta de desenvolvedor para autenticar com outros recursos do Azure. Portanto, o mesmo código pode ser usado para autenticar seu aplicativo nos recursos do Azure durante o desenvolvimento local e quando implantado no Azure.

Importante

DefaultAzureCredential simplifica a autenticação ao desenvolver aplicativos que são implantados no Azure combinando credenciais usadas em ambientes de hospedagem do Azure e credenciais usadas no desenvolvimento local. Em produção, é melhor usar um tipo de credencial específico para que a autenticação seja mais previsível e mais fácil de depurar.

4 – Implementar ManagedIdentityCredential em seu aplicativo

As etapas para implementar ManagedIdentityCredential são as mesmas que as de usar o tipo DefaultAzureCredential.

Primeiro, adicione o pacote azidentity ao seu aplicativo.

go get github.com/Azure/azure-sdk-for-go/sdk/azidentity

Em seguida, para qualquer código Go que instancie um cliente do SDK do Azure em seu aplicativo, você desejará:

  1. Importe o pacote azidentity.
  2. Crie uma instância do tipo ManagedIdentityCredential.
  3. Passe a instância do tipo ManagedIdentityCredential para o construtor do cliente do SDK do Azure.

Um exemplo dessas etapas é mostrado no segmento de código a seguir com um cliente de Blob de Armazenamento do Azure.

import (
	"context"

	"github.com/Azure/azure-sdk-for-go/sdk/azidentity"
	"github.com/Azure/azure-sdk-for-go/sdk/storage/azblob"
)

const (
	account       = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/"
	containerName = "sample-container"
	blobName      = "sample-blob"
	sampleFile    = "path/to/sample/file"
)

func main() {
    // create a credential
    cred, err := azidentity.NewManagedIdentityCredential(nil)
    
    // When using User Assigned Managed Identity use this instead and pass your client id in the options
    // clientID := azidentity.ClientID("abcd1234-...")
    // opts := azidentity.ManagedIdentityCredentialOptions{ID: clientID}
    // cred, err := azidentity.NewManagedIdentityCredential(&opts)
    
    if err != nil {
      // TODO: handle error
    }
    
    // create a client for the specified storage account
    client, err := azblob.NewClient(account, cred, nil)
    if err != nil {
      // TODO: handle error
    }
    
    // TODO: perform some action with the azblob Client
    // _, err = client.DownloadFile(context.TODO(), <containerName>, <blobName>, <target_file>, <DownloadFileOptions>)
}