Azure'da barındırılan C++ uygulamalarını, sistem tarafından atanan yönetilen kimlik kullanarak Azure kaynaklarına kimlik doğrulama.

Azure barındırılan bir uygulamanın kimliğini diğer Azure kaynaklarda doğrulamak için önerilen yaklaşım, managed identity kullanmaktır. Bu yaklaşım, Azure App Service, Azure Container Apps ve Azure Virtual Machines üzerinde barındırılan uygulamalar dahil olmak üzere çoğu Azure hizmeti için desteklenir. kimlik doğrulamasına genel bakış sayfasında farklı kimlik doğrulama teknikleri ve yaklaşımları hakkında daha fazla bilgi edinin. İlerideki bölümlerde şunları öğreneceksiniz:

  • Temel yönetilen kimlik kavramları
  • Uygulamanız için sistem tarafından atanan yönetilen kimlik oluşturma
  • Sistem tarafından atanan yönetilen kimliğe nasıl rol atanır
  • Uygulama kodunuzdan sistem tarafından atanan yönetilen kimliği kullanarak kimlik doğrulaması

Temel yönetilen kimlik kavramları

Yönetilen kimlik, uygulamanızın gizli anahtarlar veya diğer uygulama gizli dizileri kullanmadan diğer Azure kaynaklarına güvenli bir şekilde bağlanmasını sağlar. Azure, kimliği ve bağlanmasına izin verilen kaynakları dahili olarak izler. Azure, uygulamanın diğer Azure kaynaklarına bağlanmasına izin vermek üzere Microsoft Entra belirteçlerini otomatik olarak almak için bu bilgileri kullanır.

Barındırılan uygulamanızı yapılandırırken göz önünde bulundurmanız gereken iki tür yönetilen kimlik vardır:

  • System-assigned yönetilen kimlikler doğrudan bir Azure kaynağında etkinleştirilerek yaşam döngüsüne bağlanır. Kaynak silindiğinde Azure sizin için kimliği otomatik olarak siler. Sistem tarafından atanan kimlikler, yönetilen kimlikleri kullanmaya yönelik minimalist bir yaklaşım sağlar.
  • User tarafından atanan yönetilen kimlikler tek başına Azure kaynakları olarak oluşturulur ve daha fazla esneklik ve yetenek sunar. Bunlar, aynı kimliği ve izinleri paylaşması gereken birden çok Azure kaynağı içeren çözümler için idealdir. Örneğin, birden çok sanal makinenin aynı Azure kaynakları kümesine erişmesi gerekiyorsa, kullanıcı tarafından atanan yönetilen kimlik yeniden kullanılabilirlik ve iyileştirilmiş yönetim sağlar.

Tavsiye

Yönetilen kimlik en iyi uygulama önerileri makalesinde sistem tarafından atanan ve kullanıcı tarafından atanan yönetilen kimlikleri seçme ve yönetme hakkında daha fazla bilgi edinin.

Aşağıdaki bölümlerde, Azure barındırılan bir uygulama için sistem tarafından atanan yönetilen kimliği etkinleştirme ve kullanma adımları açıklanmaktadır. Kullanıcı tarafından atanan yönetilen kimlik kullanmanız gerekiyorsa daha fazla bilgi için kullanıcı tarafından atanan yönetilen kimlikler makalesini ziyaret edin.

Azure barındırma kaynağında sistem tarafından atanan yönetilen kimliği etkinleştirme

Uygulamanızla sistem tarafından atanan yönetilen kimliği kullanmaya başlamak için, Azure App Service, Azure Container Apps veya Azure Virtual Machines örneği gibi uygulamanızı barındıran Azure kaynağında kimliği etkinleştirin.

Azure portalını veya Azure CLI kullanarak bir Azure kaynağı için sistem tarafından atanan yönetilen kimliği etkinleştirebilirsiniz.

  1. Azure portalında, Azure App Service veya Azure Container Apps örneği gibi uygulama kodunuzu barındıran kaynağa gidin.

  2. Kaynağın Genel Bakış sayfasında Ayarlar bölümünü genişletin ve navigasyon menüsünden Kimlik'i seçin.

  3. Kimlik sayfasında, Durum kaydırıcısını Açıkkonumuna getirin.

  4. Yaptığınız değişiklikleri uygulamak için Kaydet'i seçin.

    Kapsayıcı uygulamasında sistem tarafından atanan yönetilen kimliği etkinleştirmeyi gösteren ekran görüntüsü.

Yönetilen kimliğe roller atayın

Ardından, uygulamanızın hangi rollere ihtiyacı olduğunu belirleyin ve bu rolleri yönetilen kimliğe atayın. Yönetilen kimliğe aşağıdaki kapsamlarda rol atayabilirsiniz:

  • Kaynak: Atanan roller yalnızca o belirli kaynağa uygulanır.
  • Kaynak grubu: Atanan roller, kaynak grubunda yer alan tüm kaynaklara uygulanır.
  • abonelik : Atanan roller, abonelikte yer alan tüm kaynaklar için geçerlidir.

Aşağıdaki örnekte, birçok uygulama tüm ilgili Azure kaynaklarını tek bir kaynak grubu kullanarak yönettiğinden kaynak grubu kapsamında rollerin nasıl atandığı gösterilmektedir.

  1. Sistem tarafından atanan yönetilen kimlikle uygulamayı içeren kaynak grubunun Genel Bakış sayfasına gidin.

  2. Soldaki gezinti bölmesinde Erişim Denetimi (IAM) seçin.

  3. Erişim denetimi (IAM) sayfasında, üst menüden + Ekle'yi seçin ve ardından Rol Ataması Ekle'yi seçerek Rol Ataması Ekle sayfasına gidin.

    Kimlik rolü atama sayfasına erişmeyi gösteren ekran görüntüsü.

  4. Rol ataması ekle sayfası, kimliklere rol atamak için sekmeli, çok adımlı bir iş akışı sunar. İlk Rol sekmesinde, kimliğe atamak istediğiniz rolü bulmak için üstteki arama kutusunu kullanın.

  5. Sonuçlardan rolü seçin ve ardından İleri seçeneğine tıklayarak Üyeler sekmesine geçin.

  6. erişim atama seçeneği için yönetilen kimlikseçin.

  7. Üyeler seçeneği için, + Üyeleri seç'ni seçin ve Yönetilen kimlikleri seç panelini açın.

  8. Yönetilen kimlikleri seçin panelinde Abonelik kullanın ve yönetilen kimlik açılan listelerini kullanarak kimliklerinizin arama sonuçlarını filtreleyin. Uygulamanızı barındıran Azure kaynağı için etkinleştirdiğiniz sistem kimliğini bulmak için Select arama kutusunu kullanın.

    Yönetilen kimlik atama işlemini gösteren ekran görüntüsü.

  9. Devam etmek için kimliği seçin ve panelin altındaki seçeneğini tıklayın.

  10. Sayfanın alt kısmındaki Gözden Geçir + Ata seçeneğini seçin.

  11. Son gözden geçir + ata sekmesinde, iş akışını tamamlamak için gözden geçir + ata'ü seçin.

Uygulamanızdan Azure hizmetleri için kimlik doğrulaması

Azure Kimliği kitaplığı, çeşitli kimlik bilgileri—Microsoft Entra kimlik doğrulama akışlarını ve farklı senaryoları desteklemeye uyarlanmış TokenCredential uygulamaları sağlar. Yönetilen kimlik yerel olarak çalıştırılırken kullanılamadığından, sonraki adımlar hangi senaryoda hangi kimlik bilgilerinin kullanılacağını gösterir:

  • Yerel geliştirme ortamı: Sadece yerel geliştirme sırasında, önceden yapılandırılmış bir kimlik bilgileri zinciri için DefaultAzureCredential adlı bir sınıf kullanın. DefaultAzureCredential, Azure CLI veya Visual Studio gibi yerel araçlarınızdan veya IDE'nizden kullanıcı kimlik bilgilerini bulur. Ayrıca yeniden denemeler, yanıtlar için bekleme süreleri ve birden çok kimlik doğrulama seçeneği için destek için esneklik ve kolaylık sağlar. Daha fazla bilgi edinmek için Authenticate to Azure services during local development makalesini ziyaret edin.
  • Azure barındırılan uygulamalar: Uygulamanız Azure çalışırken, uygulamanız için yapılandırılan yönetilen kimliği güvenle bulmak için ManagedIdentityCredential kullanın. Bu tam kimlik bilgisi türünün belirtilmesi, diğer kullanılabilir kimlik bilgilerinin beklenmedik bir şekilde alınmasını engeller.

Kodu uygulama

  1. vcpkg kullanarak azure-identity-cpp paketini uygulamanıza ekleyin.

    Seçtiğiniz bir terminalde uygulama projesi dizinine gidin ve aşağıdaki komutu çalıştırın:

    vcpkg add port azure-identity-cpp
    
  2. CMake dosyanıza aşağıdakileri ekleyin:

    find_package(azure-identity-cpp CONFIG REQUIRED)
    target_link_libraries(<your project name> PRIVATE Azure::azure-identity)
    
  3. Azure hizmetlere çeşitli Azure SDK istemci kitaplıklarından özel istemciler kullanılarak erişilir. Uygulamanızda bir Azure SDK istemcisi örneği oluşturan tüm C++ kodları için şunları yapmanız gerekir:

    1. Başlığı azure/identity.hpp ekleyin.
    2. öğesinin bir örneğini DefaultAzureCredentialoluşturun.
    3. DefaultAzureCredential örneğini Azure SDK istemci oluşturucusna geçirin.
    4. AZURE_TOKEN_CREDENTIALS ortam değişkenini ManagedIdentityCredential olarak ayarlayarak DefaultAzureCredential'nin yönetilen kimlik kimlik bilgilerini kullandığından emin olun. Bu uygulama, kimlik doğrulamasını daha öngörülebilir hale getirir ve Azure dağıtıldığında hata ayıklamayı kolaylaştırır. Daha fazla bilgi için bkz. Belirli bir kimlik bilgilerini kullanma.

    Bu adımların bir örneği, Azure Storage Blob istemcisiyle aşağıdaki kod kesiminde gösterilmiştir.

    #include <azure/identity.hpp>
    #include <azure/storage/blobs.hpp>
    #include <iostream>
    #include <memory>
    
    int main() {
        try {
            // Create a credential
            auto credential = std::make_shared<Azure::Identity::DefaultAzureCredential>(true);
    
            // Create a client for the specified storage account
            std::string accountUrl = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/";
            Azure::Storage::Blobs::BlobServiceClient blobServiceClient(accountUrl, credential);
    
            // Get a reference to a container
            std::string containerName = "sample-container";
            auto containerClient = blobServiceClient.GetBlobContainerClient(containerName);
    
            // Get a reference to a blob
            std::string blobName = "sample-blob";
            auto blobClient = containerClient.GetBlobClient(blobName);
    
            // TODO: perform some action with the blob client
            // auto downloadResult = blobClient.DownloadTo("path/to/local/file");
    
            std::cout << "Successfully authenticated and created Azure clients." << std::endl;
    
        } catch (const std::exception& ex) {
            std::cout << "Exception: " << ex.what() << std::endl;
            return 1;
        }
    
        return 0;
    }
    

C++ kimlik doğrulamasına genel bakış için Azure SDK makalesinde açıklandığı gibi, birden çok kimlik doğrulama yöntemini destekler ve çalışma zamanında kullanılan kimlik doğrulama yöntemini belirler. Bu yaklaşımın avantajı, uygulamanızın ortama özgü kod uygulamadan farklı ortamlarda farklı kimlik doğrulama yöntemleri kullanabilmesidir. Önceki kod, yerel geliştirme sırasında iş istasyonunuzda çalıştırıldığında, DefaultAzureCredential, ortam ayarlarınca belirlenen bir uygulama hizmet sorumlusu veya geliştirici aracı kimlik bilgilerini kullanarak diğer Azure kaynaklarına kimlik doğrulaması yapar. Bu nedenle, hem yerel geliştirme sırasında hem de Azure dağıtıldığında uygulamanızın kimliğini doğrulamak için Azure kaynaklar için aynı kod kullanılabilir.

Önemli

DefaultAzureCredential, Azure barındırma ortamları ve yerel geliştirme için kullanılan kimlik bilgilerini birleştirerek Azure’a dağıtılan uygulamaları geliştirirken kimlik doğrulamasını basitleştirir. Üretimde, kimlik doğrulamasının daha öngörülebilir ve hata ayıklaması daha kolay olması için belirli bir kimlik bilgisi türünü kullanmak daha iyidir.

DefaultAzureCredential alternatifi, ManagedIdentityCredential kullanmaktır. ManagedIdentityCredential kullanma adımları, DefaultAzureCredential türünü kullanmayla aynıdır.

Bu adımların bir örneği, Azure Storage Blob istemcisiyle aşağıdaki kod kesiminde gösterilmiştir.

#include <azure/identity.hpp>
#include <azure/storage/blobs.hpp>
#include <iostream>
#include <memory>

int main() {
    try {
        // Create a system-assigned managed identity credential
        auto credential = std::make_shared<Azure::Identity::ManagedIdentityCredential>();
        
        // Create a client for the specified storage account
        std::string accountUrl = "https://<replace_with_your_storage_account_name>.blob.core.windows.net/";
        Azure::Storage::Blobs::BlobServiceClient blobServiceClient(accountUrl, credential);
        
        // Get a reference to a container
        std::string containerName = "sample-container";
        auto containerClient = blobServiceClient.GetBlobContainerClient(containerName);
        
        // Get a reference to a blob
        std::string blobName = "sample-blob";
        auto blobClient = containerClient.GetBlobClient(blobName);
        
        // TODO: perform some action with the blob client
        // auto downloadResult = blobClient.DownloadTo("path/to/local/file");
        
        std::cout << "Successfully authenticated using system-assigned managed identity." << std::endl;
        
    } catch (const std::exception& ex) {
        std::cout << "Exception: " << ex.what() << std::endl;
        return 1;
    }
    
    return 0;
}