Accedere all'Archiviazione Azure da un'applicazione web utilizzando identità gestite

Per creare un account di archiviazione per utilizzo generico v2 nel portale di Azure, seguire questa procedura.

1. Selezionare Tutti i servizi nel menu del portale di Azure. Nell'elenco delle risorse, inserire Account di archiviazione. Quando si inizia a digitare, l'elenco viene filtrato in base all'input. Selezionare Account di archiviazione.

2. Nella finestra Account di archiviazione visualizzata, selezionare Crea.

3. Selezionare la sottoscrizione in cui creare l'account di archiviazione.

4. Nel menu a discesa del campo Gruppo di risorse selezionare il gruppo di risorse che contiene l'app Web.

5. Immettere quindi un nome per l'account di archiviazione. Il nome scelto deve essere univoco in Azure. Anche il nome deve avere una lunghezza compresa tra 3 e 24 caratteri e può includere solo numeri e lettere minuscole.

6. Selezionare la località per l'account di archiviazione o usare la località predefinita.

7. Per Prestazioni, selezionare l'opzione Standard.

8. Per Ridondanza, selezionare l'opzione Archiviazione con ridondanza locale (LRS) nell'elenco a discesa.

9. Selezionare Rivedi per rivedere le impostazioni dell'account di archiviazione e creare l'account.

10. Seleziona Crea.

Per creare un contenitore di Archiviazione BLOB in Archiviazione di Azure, seguire questa procedura.

1. Passare al nuovo account di archiviazione nel portale di Azure.

2. Nel menu sinistro per l'account di archiviazione, scorrere fino alla sezione Archiviazione dati e quindi selezionare Contenitori.

3. Selezionare il pulsante + Contenitore.

4. Digitare un nome per il nuovo contenitore. Il nome del contenitore deve essere scritto tutto minuscolo, deve iniziare con una lettera o un numero e può contenere solo lettere, numeri e il trattino (-).

5. Impostare il livello di accesso pubblico al contenitore. Il livello predefinito è Privato (nessun accesso anonimo).

6. Selezionare Crea per creare il contenitore.

Per creare un account di archiviazione per utilizzo generico v2 e un contenitore di Archiviazione BLOB, eseguire lo script seguente. Specificare il nome del gruppo di risorse che contiene l'app Web. Immettere un nome per l'account di archiviazione. Il nome scelto deve essere univoco in Azure. Anche il nome deve avere una lunghezza compresa tra 3 e 24 caratteri e può includere solo numeri e lettere minuscole.

Specificare la località dell'account di archiviazione. Per visualizzare un elenco delle località valide per la sottoscrizione, eseguire Get-AzLocation | select Location. Il nome del contenitore deve essere scritto tutto minuscolo, deve iniziare con una lettera o un numero e può contenere solo lettere, numeri e il trattino (-).

Ricordare di sostituire i valori segnaposto tra parentesi angolari con i propri valori.

Connect-AzAccount

$resourceGroup = "securewebappresourcegroup"
$location = "<location>"
$storageName="securewebappstorage"
$containerName = "securewebappblobcontainer"

$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup `
  -Name $storageName `
  -Location $location `
  -SkuName Standard_RAGRS `
  -Kind StorageV2

$ctx = $storageAccount.Context

New-AzStorageContainer -Name $containerName -Context $ctx -Permission blob

Per creare un account di archiviazione per utilizzo generico v2 e un contenitore di Archiviazione BLOB, eseguire lo script seguente. Specificare il nome del gruppo di risorse che contiene l'app Web. Immettere un nome per l'account di archiviazione. Il nome scelto deve essere univoco in Azure. Anche il nome deve avere una lunghezza compresa tra 3 e 24 caratteri e può includere solo numeri e lettere minuscole.

Specificare la località dell'account di archiviazione. Il nome del contenitore deve essere scritto tutto minuscolo, deve iniziare con una lettera o un numero e può contenere solo lettere, numeri e il trattino (-).

Nell'esempio seguente viene usato l'account Microsoft Entra per autorizzare l'operazione di creazione del contenitore. Prima di creare il contenitore, assegna a te stesso il ruolo di Collaboratore ai dati dei BLOB di memorizzazione. Anche se si è il proprietario dell'account, sono necessarie autorizzazioni esplicite per eseguire operazioni sui dati nell'account di archiviazione.

Ricordare di sostituire i valori segnaposto tra parentesi angolari con i propri valori.

az login

az storage account create \
    --name securewebappstorage \
    --resource-group securewebappresourcegroup \
    --location <location> \
    --sku Standard_ZRS \
    --encryption-services blob

storageId=$(az storage account show -n securewebappstorage -g securewebappresourcegroup --query id --out tsv)

az ad signed-in-user show --query objectId -o tsv | az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee @- \
    --scope $storageId

az storage container create \
    --account-name securewebappstorage \
    --name securewebappblobcontainer \
    --auth-mode login

Nel portale di Azure, accedi al tuo account di archiviazione per concedere l'accesso alla tua applicazione web. Selezionare Controllo di accesso (IAM) e quindi Assegnazioni di ruolo. Verrà visualizzato un elenco di utenti che hanno accesso all'account di archiviazione. A questo punto vuoi aggiungere un'assegnazione di ruolo a un robot, il servizio app che necessita di accesso all'account di archiviazione. Selezionare Aggiungi>Aggiungi assegnazione di ruolo per aprire la pagina Aggiungi assegnazione di ruolo.

1. Selezionare nella scheda Tipo di assegnazione, Tipo di funzione lavorativa e quindi Avanti.

2. Nella scheda Ruolo, selezionare il ruolo Collaboratore dati del BLOB di archiviazione dal menu a discesa e quindi selezionare Avanti.

3. Nella scheda Membri selezionare Assegna accesso all'identità>gestita e quindi selezionare Membri>Seleziona membri. Nella finestra Seleziona identità gestite, individuare e selezionare l'identità gestita creata per il servizio app nell'elenco a discesa Identità gestita. Fare clic sul pulsante Seleziona.

4. Selezionare Rivedi e assegna e quindi selezionare Rivedi e assegna ancora una volta.

Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.

L'app Web può ora accedere all'account di archiviazione.

Eseguire il seguente script per assegnare all'applicazione web, rappresentata da un'identità gestita assegnata dal sistema, il ruolo del collaboratore dei dati del BLOB di archiviazione sul tuo account di archiviazione.

$resourceGroup = "securewebappresourcegroup"
$webAppName="SecureWebApp20201102125811"
$storageName="securewebappstorage"

$spID = (Get-AzWebApp -ResourceGroupName $resourceGroup -Name $webAppName).identity.principalid
$storageId= (Get-AzStorageAccount -ResourceGroupName $resourceGroup -Name $storageName).Id
New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Storage Blob Data Contributor" -Scope $storageId

Eseguire il seguente script per assegnare all'applicazione web, rappresentata da un'identità gestita assegnata dal sistema, il ruolo del collaboratore dei dati del BLOB di archiviazione sul tuo account di archiviazione.

spID=$(az resource list -n SecureWebApp20201102125811 --query [*].identity.principalId --out tsv)

storageId=$(az storage account show -n securewebappstorage -g securewebappresourcegroup --query id --out tsv)

az role assignment create --assignee $spID --role 'Storage Blob Data Contributor' --scope $storageId

La classe DefaultAzureCredential viene usata per ottenere le credenziali del token affinché il codice autorizzi le richieste al servizio di archiviazione di Azure. Creare un'istanza della classe DefaultAzureCredential, che usa l'identità gestita per recuperare i token e collegarli al client del servizio. L'esempio di codice seguente ottiene le credenziali del token autenticato e le usa per creare un oggetto client del servizio, che carica un nuovo BLOB.

Per vedere questo codice come parte di un'applicazione di esempio, vedere l'esempio in GitHub.

Installare i pacchetti della libreria client

Installare il pacchetto NuGet Blob Storage per usare Blob Storage e il pacchetto NuGet della libreria client Azure Identity per .NET per eseguire l'autenticazione con le credenziali di Microsoft Entra. Installare le librerie client usando l'interfaccia della riga di comando .NET (CLI) o la console di Gestione pacchetti in Visual Studio.

CLI .NET

Aprire una riga di comando e passare alla directory che contiene il file di progetto.

Eseguire i comandi di installazione.

dotnet add package Azure.Storage.Blobs

dotnet add package Azure.Identity

Console di gestione pacchetti

Aprire il progetto o la soluzione in Visual Studio, quindi aprire la console selezionando Strumenti>Gestione pacchetti NuGet>Console di Gestione pacchetti.

Eseguire i comandi di installazione.

Install-Package Azure.Storage.Blobs

Install-Package Azure.Identity

Esempio

using System;
using Azure.Storage.Blobs;
using Azure.Storage.Blobs.Models;
using System.Collections.Generic;
using System.Threading.Tasks;
using System.Text;
using System.IO;
using Azure.Identity;

// Some code omitted for brevity.

static public async Task UploadBlob(string accountName, string containerName, string blobName, string blobContents)
{
    // Construct the blob container endpoint from the arguments.
    string containerEndpoint = string.Format("https://{0}.blob.core.windows.net/{1}",
                                                accountName,
                                                containerName);

    // Get a credential and create a client object for the blob container.
    BlobContainerClient containerClient = new BlobContainerClient(new Uri(containerEndpoint),
                                                                    new DefaultAzureCredential());

    try
    {
        // Create the container if it does not exist.
        await containerClient.CreateIfNotExistsAsync();

        // Upload text to a new block blob.
        byte[] byteArray = Encoding.ASCII.GetBytes(blobContents);

        using (MemoryStream stream = new MemoryStream(byteArray))
        {
            await containerClient.UploadBlobAsync(blobName, stream);
        }
    }
    catch (Exception e)
    {
        throw e;
    }
}

La classe DefaultAzureCredential del pacchetto @azure/identity viene usata per ottenere una credenziale token per autorizzare il codice a inviare richieste ad Azure Storage. La classe BlobServiceClient del pacchetto @azure/storage-blob viene usata per caricare un nuovo BLOB nell'archiviazione. Creare un'istanza della classe DefaultAzureCredential, che usa l'identità gestita per recuperare token e collegarli al client del servizio BLOB. L'esempio di codice seguente ottiene le credenziali del token autenticato e le usa per creare un oggetto client del servizio, che carica un nuovo BLOB.

Esempio

const { DefaultAzureCredential } = require("@azure/identity");
const { BlobServiceClient } = require("@azure/storage-blob");
const defaultAzureCredential = new DefaultAzureCredential();

// Some code omitted for brevity.

async function uploadBlob(accountName, containerName, blobName, blobContents) {
    const blobServiceClient = new BlobServiceClient(
        `https://${accountName}.blob.core.windows.net`,
        defaultAzureCredential
    );

    const containerClient = blobServiceClient.getContainerClient(containerName);

    try {
        await containerClient.createIfNotExists();
        const blockBlobClient = containerClient.getBlockBlobClient(blobName);
        const uploadBlobResponse = await blockBlobClient.upload(blobContents, blobContents.length);
        console.log(`Upload block blob ${blobName} successfully`, uploadBlobResponse.requestId);
    } catch (error) {
        console.log(error);
    }
}