Azure での安全なサービス間通信のためのマネージド ID の使用

Dec 23, 2024 am 12:40 AM

マネージド ID は、Azure での安全なクロスサービス通信に不可欠です。シークレット、キー、接続文字列を管理する必要がなくなり、アプリケーションコンポーネントのシームレスな統合が可能になります。このブログでは、マネージド ID を使用して Azure SQL Database を Azure App Service 上で実行されている Python バックエンドに接続する方法を説明します。

Microsoft 認証ライブラリ

Entra ID を使用して Azure サービスに接続するには、Microsoft Authentication Library (MSAL) が必要です。この例では Python ライブラリを使用していますが、心配しないでください。MSAL は主要なプログラミング言語ごとに存在します。

import msal

これは、Azure SQL データベースに接続するための簡単な関数です:

def get_db_connection():
    connection_string = f'DRIVER={{ODBC Driver 17 for SQL Server}};SERVER={server}.database.windows.net;PORT=1433;DATABASE={database};Authentication=ActiveDirectoryMsi'
    return pyodbc.connect(connection_string)

これらの前提条件を満たしていれば、シークレットや接続文字列を処理することなく、コード内でデータベース接続を確立し、クエリを実行できます。

Python バックエンドのデモ

デモンストレーションのために、名前、役職、給与などの従業員データを返す単純な Python Flask API を作成しました。 get_db_connection() 関数を使用してデータベース接続を開いてデータをクエリする方法に注目してください。

def get_employees():
    conn = get_db_connection()
    cursor = conn.cursor()
    cursor.execute('SELECT ID, Name, Position, Salary FROM Employees')
    rows = cursor.fetchall()
    conn.close()

    # Convert data to a list of dictionaries.
    employees = []
    for row in rows:
        employees.append({
            'ID': row.ID,
            'Name': row.Name,
            'Position': row.Position,
            'Salary': row.Salary
        })

    return jsonify(employees)

このシンプルなアプローチにより、マネージド ID を使用してバックエンドがデータベースと安全にやり取りできるようになります。

Dockerfile

アプリケーションを Docker コンテナーにデプロイしている場合、SQL Server 用の ODBC ドライバーをインストールするための Dockerfile は次のとおりです。

FROM python:3.13-slim

COPY . /app
WORKDIR /app

# Install Microsoft ODBC Driver 17 for SQL Server and dependencies
RUN apt-get update \
 && apt-get install -y gnupg curl apt-transport-https \
 && curl https://packages.microsoft.com/keys/microsoft.asc | tee /etc/apt/trusted.gpg.d/microsoft.asc \
 && echo "deb [arch=amd64] https://packages.microsoft.com/debian/11/prod bullseye main" | tee /etc/apt/sources.list.d/mssql-release.list \
 && apt-get update \
 && ACCEPT_EULA=Y apt-get install -y msodbcsql17 unixodbc-dev \
 && apt-get install -y build-essential \
 && apt-get clean -y

# Install Python dependencies
RUN pip install -r requirements.txt

EXPOSE 80

CMD ["gunicorn", "-w", "4", "-b", "0.0.0.0:80", "app:app"]

このセットアップにより、コンテナーが Azure SQL に安全に接続できるようになります。

SQL Server とデータベースの導入

Azure SQL サーバーをデプロイする場合は、Azure AD のみの認証を構成します。これはマネージド ID の要件です。以下は、SQL サーバーとデータベースのデプロイに使用される Bicep テンプレートです:

resource sqlServer 'Microsoft.Sql/servers@2023-08-01-preview' = {
  name: serverName
  location: location
  tags: {
    workload: 'Sample Backend with SQL Database'
    topic: 'SQL Server'
    environment: 'Production'
  }
  properties: {
    minimalTlsVersion: '1.2'
    administrators: {
      administratorType: 'ActiveDirectory'
      login: sqlAdminName
      sid: sqlAdminObjectId
      tenantId: tenantId
      principalType: principalType
      azureADOnlyAuthentication: azureADOnlyAuthentication
    }
  }
}

resource sqlDB 'Microsoft.Sql/servers/databases@2023-08-01-preview' = {
  parent: sqlServer
  name: sqlDBName
  location: location
  sku: {
    name: sqlDBSkuName
    tier: sqlDBSkuTier
    capacity: capacity
  }
}

このテンプレートにより、データベースが安全に構成され、すぐに使用できるようになります。

マネージド ID へのデータベースロールの付与

App Service がシークレットなしでデータベースにアクセスできるようにするには、必要なデータベースロールをマネージド ID に割り当てます。 Bicep または Terraform ではこの手順を実行できません。カスタムスクリプトを作成するか、Azure Portal 経由でデータベースにアクセスします。

CREATE USER [<displayname-of-appservice>] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [<displayname-of-appservice>];
ALTER ROLE db_datawriter ADD MEMBER [<displayname-of-appservice>];
ALTER ROLE db_ddladmin ADD MEMBER [<displayname-of-appservice>];
GO
</displayname-of-appservice></displayname-of-appservice></displayname-of-appservice></displayname-of-appservice>

これらのロールにより、マネージド ID は必要に応じて読み取り、書き込み、スキーマ変更操作を実行できます。

GitHub 上の公開テンプレート

CI/CD 統合を含む完全なコードについては、GitHub のパブリックテンプレートを確認してください。このリポジトリには、このブログで説明されているセットアップを複製するために必要なものがすべて含まれています。

ラッツォックス / SQLデータベースを使用したクイックスタートバックエンド

新しいアプリケーション機能をテストするための軽量のバックエンド環境。これには、アプリのホスティングからデータ永続性の管理までのすべてが含まれており、テストと反復を容易にするために CI/CD が統合されています。

SQL データベース接続を使用したクイックスタートバックエンド

この使用例には、新しいアプリケーション機能をテストするための軽量のバックエンド環境を提供するために、Azure SQL Database を使用して Azure App Service をデプロイすることが含まれます。これには、アプリのホスティングからデータ永続性の管理までのすべてが含まれており、テストと反復を容易にするために CI/CD が統合されています。

目的

新しいアプリケーション機能をテストするために、スケーラブルで安全な Web バックエンドを Azure にデプロイします。
Bicep を使用してインフラストラクチャのプロビジョニングを自動化します。
頻繁なテストと簡単な更新のために、アプリケーションの継続的デプロイメントを統合します。

コンポーネントの概要

Azure App Service - シンプルなバックエンド API をデプロイします。
Azure SQL データベース - 永続化のために SQL データベースをセットアップします。
Azure Container Registry (オプション) - バージョン管理用のコンテナーイメージを保存します (コンテナー化されたバージョンを使用している場合)。
継続的インテグレーション/継続的デプロイメント (CI/CD) - GitHub Actions を使用してデプロイメントを自動化します。

GitHub で表示

マネージド ID を使用すると、シークレットの必要性がなくなるため、サービス間の通信が簡素化され、セキュリティが強化されます。このアプローチは、Azure で安全でスケーラブルなアプリケーションを構築している人には強くお勧めします。

以上がAzure での安全なサービス間通信のためのマネージド ID の使用の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

Pythonの主な目的：柔軟性と使いやすさApr 17, 2025 am 12:14 AM

Pythonの柔軟性は、マルチパラダイムサポートと動的タイプシステムに反映されていますが、使いやすさはシンプルな構文とリッチ標準ライブラリに由来しています。 1。柔軟性：オブジェクト指向、機能的および手続き的プログラミングをサポートし、動的タイプシステムは開発効率を向上させます。 2。使いやすさ：文法は自然言語に近く、標準的なライブラリは幅広い機能をカバーし、開発プロセスを簡素化します。

Python：汎用性の高いプログラミングの力Apr 17, 2025 am 12:09 AM

Pythonは、初心者から上級開発者までのすべてのニーズに適した、そのシンプルさとパワーに非常に好まれています。その汎用性は、次のことに反映されています。1）学習と使用が簡単、シンプルな構文。 2）Numpy、Pandasなどの豊富なライブラリとフレームワーク。 3）さまざまなオペレーティングシステムで実行できるクロスプラットフォームサポート。 4）作業効率を向上させるためのスクリプトおよび自動化タスクに適しています。

1日2時間でPythonを学ぶ：実用的なガイドApr 17, 2025 am 12:05 AM

はい、1日2時間でPythonを学びます。 1.合理的な学習計画を作成します。2。適切な学習リソースを選択します。3。実践を通じて学んだ知識を統合します。これらの手順は、短時間でPythonをマスターするのに役立ちます。

Python vs. C：開発者の長所と短所Apr 17, 2025 am 12:04 AM

Pythonは迅速な開発とデータ処理に適していますが、Cは高性能および基礎となる制御に適しています。 1）Pythonは、簡潔な構文を備えた使いやすく、データサイエンスやWeb開発に適しています。 2）Cは高性能で正確な制御を持ち、ゲームやシステムのプログラミングでよく使用されます。

Python：時間のコミットメントと学習ペースApr 17, 2025 am 12:03 AM

Pythonを学ぶのに必要な時間は、人によって異なり、主に以前のプログラミングの経験、学習の動機付け、学習リソースと方法、学習リズムの影響を受けます。現実的な学習目標を設定し、実用的なプロジェクトを通じて最善を尽くします。

Python：自動化、スクリプト、およびタスク管理Apr 16, 2025 am 12:14 AM

Pythonは、自動化、スクリプト、およびタスク管理に優れています。 1）自動化：OSやShutilなどの標準ライブラリを介してファイルバックアップが実現されます。 2）スクリプトの書き込み：Psutilライブラリを使用してシステムリソースを監視します。 3）タスク管理：スケジュールライブラリを使用してタスクをスケジュールします。 Pythonの使いやすさと豊富なライブラリサポートにより、これらの分野で優先ツールになります。

Pythonと時間：勉強時間を最大限に活用するApr 14, 2025 am 12:02 AM

限られた時間でPythonの学習効率を最大化するには、PythonのDateTime、時間、およびスケジュールモジュールを使用できます。 1. DateTimeモジュールは、学習時間を記録および計画するために使用されます。 2。時間モジュールは、勉強と休息の時間を設定するのに役立ちます。 3.スケジュールモジュールは、毎週の学習タスクを自動的に配置します。

Python：ゲーム、GUIなどApr 13, 2025 am 12:14 AM

PythonはゲームとGUI開発に優れています。 1）ゲーム開発は、2Dゲームの作成に適した図面、オーディオ、その他の機能を提供し、Pygameを使用します。 2）GUI開発は、TKINTERまたはPYQTを選択できます。 TKINTERはシンプルで使いやすく、PYQTは豊富な機能を備えており、専門能力開発に適しています。

See all articles

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AIヘンタイを無料で生成します。

ホットツール

メモ帳++7.3.1

使いやすく無料のコードエディター

AtomエディタMac版ダウンロード

最も人気のあるオープンソースエディター

SAP NetWeaver Server Adapter for Eclipse

Eclipse を SAP NetWeaver アプリケーションサーバーと統合します。

SecLists

SecLists は、セキュリティテスターの究極の相棒です。これは、セキュリティ評価中に頻繁に使用されるさまざまな種類のリストを 1 か所にまとめたものです。 SecLists は、セキュリティテスターが必要とする可能性のあるすべてのリストを便利に提供することで、セキュリティテストをより効率的かつ生産的にするのに役立ちます。リストの種類には、ユーザー名、パスワード、URL、ファジングペイロード、機密データパターン、Web シェルなどが含まれます。テスターはこのリポジトリを新しいテストマシンにプルするだけで、必要なあらゆる種類のリストにアクセスできるようになります。