Utilisation des identités managées pour une communication interservice sécurisée dans Azure

Les identités managées sont essentielles pour une communication interservices sécurisée dans Azure. Ils éliminent le besoin de gérer les secrets, les clés ou les chaînes de connexion, permettant une intégration transparente des composants d'application. Dans ce blog, je vais montrer comment connecter une base de données Azure SQL à un backend Python exécuté sur Azure App Service à l'aide d'identités managées.

---

Bibliothèque d'authentification Microsoft

Pour vous connecter aux services Azure à l'aide des identités Entra, vous aurez besoin de la bibliothèque d'authentification Microsoft (MSAL). Dans cet exemple, j'utilise la bibliothèque Python, mais ne vous inquiétez pas, le MSAL existe pour tous les principaux langages de programmation.

import msal

Voici une fonction simple pour vous connecter à une base de données Azure SQL :

def get_db_connection():
    connection_string = f'DRIVER={{ODBC Driver 17 for SQL Server}};SERVER={server}.database.windows.net;PORT=1433;DATABASE={database};Authentication=ActiveDirectoryMsi'
    return pyodbc.connect(connection_string)

Une fois ces conditions préalables en place, vous pouvez établir des connexions à la base de données dans votre code et exécuter des requêtes, le tout sans manipuler de secrets ou de chaînes de connexion.

---

Démo Python Backend

Pour la démonstration, j'ai créé une simple API Python Flask qui renvoie les données des employés telles que le nom, le poste et le salaire. Remarquez comment la fonction get_db_connection() est utilisée pour ouvrir la connexion à la base de données et interroger les données.

def get_employees():
    conn = get_db_connection()
    cursor = conn.cursor()
    cursor.execute('SELECT ID, Name, Position, Salary FROM Employees')
    rows = cursor.fetchall()
    conn.close()

    # Convert data to a list of dictionaries.
    employees = []
    for row in rows:
        employees.append({
            'ID': row.ID,
            'Name': row.Name,
            'Position': row.Position,
            'Salary': row.Salary
        })

    return jsonify(employees)

Cette approche simple garantit que votre backend interagit en toute sécurité avec la base de données à l'aide d'identités gérées.

---

Fichier Docker

Si vous déployez votre application dans des conteneurs Docker, voici le Dockerfile pour installer le pilote ODBC pour SQL Server :

FROM python:3.13-slim

COPY . /app
WORKDIR /app

# Install Microsoft ODBC Driver 17 for SQL Server and dependencies
RUN apt-get update \
 && apt-get install -y gnupg curl apt-transport-https \
 && curl https://packages.microsoft.com/keys/microsoft.asc | tee /etc/apt/trusted.gpg.d/microsoft.asc \
 && echo "deb [arch=amd64] https://packages.microsoft.com/debian/11/prod bullseye main" | tee /etc/apt/sources.list.d/mssql-release.list \
 && apt-get update \
 && ACCEPT_EULA=Y apt-get install -y msodbcsql17 unixodbc-dev \
 && apt-get install -y build-essential \
 && apt-get clean -y

# Install Python dependencies
RUN pip install -r requirements.txt

EXPOSE 80

CMD ["gunicorn", "-w", "4", "-b", "0.0.0.0:80", "app:app"]

Cette configuration garantit que votre conteneur est prêt à se connecter en toute sécurité à Azure SQL.

---

Déploiement de SQL Server et de bases de données

Lors du déploiement d'un serveur Azure SQL, configurez l'authentification Azure AD uniquement. Il s’agit d’une exigence pour l’identité managée. Vous trouverez ci-dessous le modèle Bicep utilisé pour déployer le serveur SQL et la base de données :

resource sqlServer 'Microsoft.Sql/servers@2023-08-01-preview' = {
  name: serverName
  location: location
  tags: {
    workload: 'Sample Backend with SQL Database'
    topic: 'SQL Server'
    environment: 'Production'
  }
  properties: {
    minimalTlsVersion: '1.2'
    administrators: {
      administratorType: 'ActiveDirectory'
      login: sqlAdminName
      sid: sqlAdminObjectId
      tenantId: tenantId
      principalType: principalType
      azureADOnlyAuthentication: azureADOnlyAuthentication
    }
  }
}

resource sqlDB 'Microsoft.Sql/servers/databases@2023-08-01-preview' = {
  parent: sqlServer
  name: sqlDBName
  location: location
  sku: {
    name: sqlDBSkuName
    tier: sqlDBSkuTier
    capacity: capacity
  }
}

Ce modèle garantit que la base de données est configurée en toute sécurité et prête à l'emploi.

---

Octroi de rôles de base de données à une identité gérée

Pour permettre à votre App Service d'accéder à la base de données sans secrets, attribuez les rôles de base de données nécessaires à l'identité managée. Vous ne pouvez pas effectuer cette étape avec Bicep ou Terraform. Créez un script personnalisé ou accédez à la base de données via le portail Azure.

CREATE USER [<displayname-of-appservice>] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [<displayname-of-appservice>];
ALTER ROLE db_datawriter ADD MEMBER [<displayname-of-appservice>];
ALTER ROLE db_ddladmin ADD MEMBER [<displayname-of-appservice>];
GO
</displayname-of-appservice></displayname-of-appservice></displayname-of-appservice></displayname-of-appservice>

Ces rôles permettent à l'identité managée d'effectuer des opérations de lecture, d'écriture et de modification de schéma selon les besoins.

---

Modèle public sur GitHub

Pour le code complet, y compris l'intégration CI/CD, consultez le modèle public sur GitHub. Ce référentiel contient tout ce dont vous avez besoin pour reproduire la configuration décrite dans ce blog.

Latzox / quickstart-backend-with-sql-database

Un environnement backend léger pour tester de nouvelles fonctionnalités d'application. Il comprend tout, de l'hébergement de l'application à la gestion de la persistance des données et intègre CI/CD pour des tests et des itérations faciles.

Backend de démarrage rapide avec connexion à la base de données SQL

Ce cas d'utilisation implique le déploiement d'un Azure App Service avec une base de données Azure SQL pour fournir un environnement backend léger pour tester de nouvelles fonctionnalités d'application. Il comprend tout, de l'hébergement de l'application à la gestion de la persistance des données et intègre CI/CD pour des tests et des itérations faciles.

Objectifs

• Déployez un backend Web évolutif et sécurisé sur Azure pour tester de nouvelles fonctionnalités d'application.
• Automatisez le provisionnement de l'infrastructure à l'aide de Bicep.
• Intégrez le déploiement continu de l'application pour des tests fréquents et des mises à jour faciles.

Aperçu des composants

• Azure App Service – Déployez une API backend simple.
• Azure SQL Database – Configurer une base de données SQL pour la persistance.
• Azure Container Registry (Facultatif) : stockez les images de conteneurs pour le contrôle de version (si vous utilisez une version conteneurisée).
• Intégration continue/déploiement continu (CI/CD) – Automatisez le déploiement à l'aide des actions GitHub.

Voir sur GitHub

---

L'utilisation d'identités gérées simplifie la communication entre services et améliore la sécurité en éliminant le besoin de secrets. Cette approche est fortement recommandée à toute personne créant des applications sécurisées et évolutives dans Azure.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!