教程：从 .NET Web 应用访问 Azure 服务

了解如何通过使用托管标识，从运行在 Azure 应用服务上的 Web 应用程序（而不是已登录用户）访问 Azure 服务，如 Azure 存储。 作为示例，本教程演示如何连接到 Azure 存储。

使用本教程可以安全地访问支持托管标识（下图中为 B）的任何服务：

• Azure 存储
• Azure SQL 数据库
• Azure 密钥保管库

想要从 Web 应用添加对 Azure 服务（包括 Azure 存储、Azure SQL 数据库和 Azure 密钥保管库）的安全访问。 你可以使用共享密钥，但之后需要考虑操作安全性：谁可以创建、部署和管理机密。 还可能会将此密钥签入 GitHub，黑客知道如何扫描它。 向 Web 应用授予数据访问权限的更安全方法是使用托管标识。

Microsoft Entra ID 中的托管标识允许应用服务通过基于角色的访问控制 (RBAC) 访问资源，而不要求使用应用凭据。 将托管标识分配给 Web 应用后，Azure 负责创建和分发证书。 用户无需费心管理机密或应用凭据。

在本教程中，你将了解：

如果没有 Azure 订阅，可在开始前创建一个试用帐户。

先决条件

• 在 Azure 应用服务上运行的 Web 应用程序：

  • .NET 快速入门
  • JavaScript 快速入门

在应用上启用托管标识

如果通过 Visual Studio 创建和发布 Web 应用，则已在应用上启用了托管标识。

1. 在应用服务中，在左侧菜单中，选择 “标识”，然后选择“ 系统分配”。 验证“状态”是否设置为“开启”。

   如果没有，请选择 “打开”，然后选择 “保存”。 若要启用系统分配的托管标识，请在确认对话框中选择“ 是”。 启用托管标识后，状态将设置为“启用”并且对象 ID 可用。

   

2. 此步骤创建一个新的对象 ID，该 ID 不同于在“身份验证/授权”窗格中创建的应用 ID。 复制系统分配的托管标识的对象 ID。 稍后需要用到它。

创建存储帐户和 Blob 存储容器

现在可以创建存储帐户和 Blob 存储容器。

每个存储帐户都必须属于 Azure 资源组。 资源组是 Azure 服务的逻辑容器。 创建存储帐户时，可以创建新的资源组或使用现有资源组。 本文介绍如何创建新资源组。

可以通过通用 v2 存储帐户访问所有 Azure 存储服务，包括 Blob、文件、队列、表和磁盘。 本文所述的步骤将创建常规用途 v2 存储帐户，但创建任何类型的存储帐户的步骤都相似。

Azure 存储中的 Blob 已组织成容器。 你需要先创建容器，然后才能在本教程的稍后部分上传 Blob。

Connect-AzAccount -Environment AzureChinaCloud

$resourceGroup = "securewebappresourcegroup"
$location = "<location>"
$storageName="securewebappstorage"
$containerName = "securewebappblobcontainer"

$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup `
  -Name $storageName `
  -Location $location `
  -SkuName Standard_RAGRS `
  -Kind StorageV2

$ctx = $storageAccount.Context

New-AzStorageContainer -Name $containerName -Context $ctx -Permission blob

az login

az storage account create \
    --name securewebappstorage \
    --resource-group securewebappresourcegroup \
    --location <location> \
    --encryption-services blob

storageId=$(az storage account show -n securewebappstorage -g securewebappresourcegroup --query id --out tsv)

az ad signed-in-user show --query objectId -o tsv | az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee @- \
    --scope $storageId

az storage container create \
    --account-name securewebappstorage \
    --name securewebappblobcontainer \
    --auth-mode login

授予对存储帐户的访问权限

你需要先向 Web 应用授予对存储帐户的访问权限，然后才能创建、读取或删除 Blob。 在上一部分中，你使用托管标识配置了在应用服务上运行的 Web 应用。 使用 Azure RBAC，您可以像对待任何安全主体一样，给予托管身份对其他资源的访问权限。

存储 Blob 数据参与者角色为通过系统分配的托管标识表示的 Web 应用提供读取、写入和删除 Blob 容器及数据的访问权限。

$resourceGroup = "securewebappresourcegroup"
$webAppName="SecureWebApp20201102125811"
$storageName="securewebappstorage"

$spID = (Get-AzWebApp -ResourceGroupName $resourceGroup -Name $webAppName).identity.principalid
$storageId= (Get-AzStorageAccount -ResourceGroupName $resourceGroup -Name $storageName).Id
New-AzRoleAssignment -ObjectId $spID -RoleDefinitionName "Storage Blob Data Contributor" -Scope $storageId

spID=$(az resource list -n SecureWebApp20201102125811 --query [*].identity.principalId --out tsv)

storageId=$(az storage account show -n securewebappstorage -g securewebappresourcegroup --query id --out tsv)

az role assignment create --assignee $spID --role 'Storage Blob Data Contributor' --scope $storageId

访问 Blob 存储

DefaultAzureCredential 类用于获取代码的令牌凭据，以授权对 Azure 存储的请求。 创建 DefaultAzureCredential 类的实例，该类使用托管标识提取令牌并将其附加到服务客户端。 下面的代码示例获取经过身份验证的令牌凭据，并使用它创建服务客户端对象，该对象将上传新的 Blob。

若要查看作为示例应用程序一部分的代码，请参阅 GitHub 上的示例。

安装客户端库包

安装要与 Blob 存储一起使用的 Blob 存储 NuGet 包，并安装适用于 .NET NuGet 包的 Azure 标识客户端库以使用 Microsoft Entra 凭据进行身份验证。 使用 .NET Core 命令行接口或 Visual Studio 中的包管理器控制台，在项目中安装客户端库。

.NET Core 命令行

1. 打开一个命令行，并切换到包含项目文件的目录。

2. 运行安装命令。

   dotnet add package Azure.Storage.Blobs
   
   dotnet add package Azure.Identity
   

程序包管理器控制台

1. 在 Visual Studio 中打开项目或解决方案，并使用“工具”“NuGet 包管理器”>“包管理器控制台”命令打开控制台 。

2. 运行安装命令。

   Install-Package Azure.Storage.Blobs
   
   Install-Package Azure.Identity
   

.NET 示例

using System;
using Azure.Storage.Blobs;
using Azure.Storage.Blobs.Models;
using System.Collections.Generic;
using System.Threading.Tasks;
using System.Text;
using System.IO;
using Azure.Identity;

// Some code omitted for brevity.

static public async Task UploadBlob(string accountName, string containerName, string blobName, string blobContents)
{
    // Construct the blob container endpoint from the arguments.
    string containerEndpoint = string.Format("https://{0}.blob.core.chinacloudapi.cn/{1}",
                                                accountName,
                                                containerName);

    // Get a credential and create a client object for the blob container.
    BlobContainerClient containerClient = new BlobContainerClient(new Uri(containerEndpoint),
                                                                    new DefaultAzureCredential());

    try
    {
        // Create the container if it doesn't exist.
        await containerClient.CreateIfNotExistsAsync();

        // Upload text to a new block blob.
        byte[] byteArray = Encoding.ASCII.GetBytes(blobContents);

        using (MemoryStream stream = new MemoryStream(byteArray))
        {
            await containerClient.UploadBlobAsync(blobName, stream);
        }
    }
    catch (Exception e)
    {
        throw e;
    }
}

清理资源

如果完成本教程，不再需要 Web 应用或关联的资源，请清理所创建的资源。

删除资源组

1. 在 Azure 门户中，从 Azure 门户菜单中选择 资源组 ，然后选择包含应用服务和应用服务计划的资源组。

2. 选择“删除资源组”，删除该资源组和所有资源。

   

3. 输入要确认的资源组的名称。

这个过程可能需要几分钟才能完成。

后续步骤

在本教程中，你将了解：