Les identités managées sont essentielles pour une communication interservices sécurisée dans Azure. Ils éliminent le besoin de gérer les secrets, les clés ou les chaînes de connexion, permettant une intégration transparente des composants d'application. Dans ce blog, je vais montrer comment connecter une base de données Azure SQL à un backend Python exécuté sur Azure App Service à l'aide d'identités managées.
Pour vous connecter aux services Azure à l'aide des identités Entra, vous aurez besoin de la bibliothèque d'authentification Microsoft (MSAL). Dans cet exemple, j'utilise la bibliothèque Python, mais ne vous inquiétez pas, le MSAL existe pour tous les principaux langages de programmation.
import msal
Voici une fonction simple pour vous connecter à une base de données Azure SQL :
def get_db_connection(): connection_string = f'DRIVER={{ODBC Driver 17 for SQL Server}};SERVER={server}.database.windows.net;PORT=1433;DATABASE={database};Authentication=ActiveDirectoryMsi' return pyodbc.connect(connection_string)
Une fois ces conditions préalables en place, vous pouvez établir des connexions à la base de données dans votre code et exécuter des requêtes, le tout sans manipuler de secrets ou de chaînes de connexion.
Pour la démonstration, j'ai créé une simple API Python Flask qui renvoie les données des employés telles que le nom, le poste et le salaire. Remarquez comment la fonction get_db_connection() est utilisée pour ouvrir la connexion à la base de données et interroger les données.
def get_employees(): conn = get_db_connection() cursor = conn.cursor() cursor.execute('SELECT ID, Name, Position, Salary FROM Employees') rows = cursor.fetchall() conn.close() # Convert data to a list of dictionaries. employees = [] for row in rows: employees.append({ 'ID': row.ID, 'Name': row.Name, 'Position': row.Position, 'Salary': row.Salary }) return jsonify(employees)
Cette approche simple garantit que votre backend interagit en toute sécurité avec la base de données à l'aide d'identités gérées.
Si vous déployez votre application dans des conteneurs Docker, voici le Dockerfile pour installer le pilote ODBC pour SQL Server :
FROM python:3.13-slim COPY . /app WORKDIR /app # Install Microsoft ODBC Driver 17 for SQL Server and dependencies RUN apt-get update \ && apt-get install -y gnupg curl apt-transport-https \ && curl https://packages.microsoft.com/keys/microsoft.asc | tee /etc/apt/trusted.gpg.d/microsoft.asc \ && echo "deb [arch=amd64] https://packages.microsoft.com/debian/11/prod bullseye main" | tee /etc/apt/sources.list.d/mssql-release.list \ && apt-get update \ && ACCEPT_EULA=Y apt-get install -y msodbcsql17 unixodbc-dev \ && apt-get install -y build-essential \ && apt-get clean -y # Install Python dependencies RUN pip install -r requirements.txt EXPOSE 80 CMD ["gunicorn", "-w", "4", "-b", "0.0.0.0:80", "app:app"]
Cette configuration garantit que votre conteneur est prêt à se connecter en toute sécurité à Azure SQL.
Lors du déploiement d'un serveur Azure SQL, configurez l'authentification Azure AD uniquement. Il s’agit d’une exigence pour l’identité managée. Vous trouverez ci-dessous le modèle Bicep utilisé pour déployer le serveur SQL et la base de données :
resource sqlServer 'Microsoft.Sql/servers@2023-08-01-preview' = { name: serverName location: location tags: { workload: 'Sample Backend with SQL Database' topic: 'SQL Server' environment: 'Production' } properties: { minimalTlsVersion: '1.2' administrators: { administratorType: 'ActiveDirectory' login: sqlAdminName sid: sqlAdminObjectId tenantId: tenantId principalType: principalType azureADOnlyAuthentication: azureADOnlyAuthentication } } } resource sqlDB 'Microsoft.Sql/servers/databases@2023-08-01-preview' = { parent: sqlServer name: sqlDBName location: location sku: { name: sqlDBSkuName tier: sqlDBSkuTier capacity: capacity } }
Ce modèle garantit que la base de données est configurée en toute sécurité et prête à l'emploi.
Pour permettre à votre App Service d'accéder à la base de données sans secrets, attribuez les rôles de base de données nécessaires à l'identité managée. Vous ne pouvez pas effectuer cette étape avec Bicep ou Terraform. Créez un script personnalisé ou accédez à la base de données via le portail Azure.
CREATE USER [<displayname-of-appservice>] FROM EXTERNAL PROVIDER; ALTER ROLE db_datareader ADD MEMBER [<displayname-of-appservice>]; ALTER ROLE db_datawriter ADD MEMBER [<displayname-of-appservice>]; ALTER ROLE db_ddladmin ADD MEMBER [<displayname-of-appservice>]; GO
Ces rôles permettent à l'identité managée d'effectuer des opérations de lecture, d'écriture et de modification de schéma selon les besoins.
Pour le code complet, y compris l'intégration CI/CD, consultez le modèle public sur GitHub. Ce référentiel contient tout ce dont vous avez besoin pour reproduire la configuration décrite dans ce blog.
Ce cas d'utilisation implique le déploiement d'un Azure App Service avec une base de données Azure SQL pour fournir un environnement backend léger pour tester de nouvelles fonctionnalités d'application. Il comprend tout, de l'hébergement de l'application à la gestion de la persistance des données et intègre CI/CD pour des tests et des itérations faciles.
L'utilisation d'identités gérées simplifie la communication entre services et améliore la sécurité en éliminant le besoin de secrets. Cette approche est fortement recommandée à toute personne créant des applications sécurisées et évolutives dans Azure.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!