12

我在 Azure 中创建了一个 ServiceBus 命名空间,以及一个主题和一个订阅。我还有一个简单的 Azure 版本 1 函数,该函数在 ServiceBus 中触发接收到的主题,如下所示:

[FunctionName("MyServiceBusTriggerFunction")]
public static void Run([ServiceBusTrigger("myTopic", "mySubscription", Connection = "MyConnection")]string mySbMsg, TraceWriter log)
{
    log.Info($"C# ServiceBus topic trigger function processed message: {mySbMsg}");
}

当我使用主题的共享访问策略在函数应用程序设置中定义连接字符串时,该函数很好地触发了 ServiceBus 中的主题,如下所示:

Endpoint=sb://MyNamespace.servicebus.windows.net/;SharedAccessKeyName=mypolicy;SharedAccessKey=UZ...E0=

现在,我想使用托管服务标识 (MSI) 来访问 ServiceBus,而不是共享访问密钥。根据这个(https://docs.microsoft.com/en-us/azure/active-directory/managed-service-identity/services-support-msi)应该是可能的,除非我误解了一些东西。我还没有设法让它工作。

我尝试的是

  • 在 Azure 门户中为我的函数设置托管服务标识“开启”
  • 为 Azure 门户的 ServiceBus 访问控制部分中的函数赋予所有者角色
  • 像这样设置 MyFunction 的连接字符串:Endpoint=sb://MyNamespace.servicebus.windows.net/

该功能在此设置中未触发,所以我错过了什么或我做错了什么?我将不胜感激任何可以帮助我进一步发展的建议。谢谢。

4

3 回答 3

4

我错过了什么或我做错了什么?

您可能会混淆 MSI 和共享访问策略。它们使用不同的提供程序来访问 Azure 服务总线。您可以只使用连接字符串或只使用 MSI 进行身份验证。

当您使用Managed Service Identity(MSI) 进行身份验证时,您需要使用以下代码为托管服务身份创建令牌提供程序。

TokenProvider.CreateManagedServiceIdentityTokenProvider(ServiceAudience.ServiceBusAudience).

TokenProvider的实现使用在库中AzureServiceTokenProvider找到的。根据环境的不同,将遵循一组不同的方法来获取访问令牌。然后初始化客户端来操作服务总线。更多细节,你可以参考这篇文章Microsoft.Azure.Services.AppAuthenticationAzureServiceTokenProvider

当您使用 servicebus 连接字符串访问时,使用共享访问令牌 (SAS) 令牌提供程序,因此您可以直接操作。

于 2018-08-21T09:24:31.980 回答
4

同意从 azure 函数我们不能直接访问像 ASB 这样的资源。但是,在这种情况下,仍然不需要直接在连接字符串中输入密码“SharedAccessKeyName”。Azure 功能可以与 Azure KeyVault 一起使用。因此,可以将带有敏感信息的连接字符串作为机密存储在 KeyVault 中,然后通过 KeyVault 授予来自天蓝色函数的系统分配的身份访问权限,然后将门户中的设置值指定为 @Microsoft.KeyVault(SecretUri={theSecretUri}) 以下博客中提到了如何实现上述目标的详细信息。 https://medium.com/statuscode/getting-key-vault-secrets-in-azure-functions-37620fd20a0b

这仍将避免直接在 Azure 函数中指定连接字符串,并通过 Vault 提供单点访问以在安全漏洞的情况下被禁用

于 2019-07-01T10:08:37.473 回答
4

Microsoft.Azure.WebJobs.Extensions.ServiceBus5.x 版更新

现在这里有最新版本的软件包的官方文档。

{
  "Values": {
    "<connection_name>__fullyQualifiedNamespace": "<service_bus_namespace>.servicebus.windows.net"
  }
}

上一个答案

现在这实际上似乎是可能的,至少对我来说效果很好。您需要使用此连接字符串:

Endpoint=sb://service-bus-namespace-name.servicebus.windows.net/;Authentication=ManagedIdentity

我实际上并没有在 Microsoft 网站上找到任何关于此的文档,而是在此处的博客中找到。

Microsoft 确实有关于您可以使用的角色以及如何将它们限制在此处的范围的文档。例子:

az role assignment create \
    --role $service_bus_role \
    --assignee $assignee_id \
    --scope /subscriptions/$subscription_id/resourceGroups/$resource_group/providers/Microsoft.ServiceBus/namespaces/$service_bus_namespace/topics/$service_bus_topic/subscriptions/$service_bus_subscription
于 2021-07-15T09:56:05.527 回答