Azure Functions

Par -
Les fonctions Azure permettent d'utiliser la technologie sans-serveur pour déployer facilement des applications sans-état. Elles peuvent être déclenchées par l'intermédiaire de différents types de déclencheurs; comme une requête HTTP, une modification de données dans un conteneur, ou encore un message.
Les fonctions sont associées à un Plan de Service, qui détermine les capacités techniques du système. Le code de la fonction sera lui même déployé dans un compte de stockage Azure.

Sécurité d'accès des fonctions

Parlons d’abord des niveaux d’autorisation dans les fonctions Azure. Le premier paramètre de l'attribut HttpTrigger dans la fonction Azure est le type d'autorisation requis pour appeler la fonction.

AuthorizationLevel est une énumération et peut prendre les valeurs suivantes. 
  • Anonyme : aucune authentification requise
  • Fonction : Autorisation au niveau de la fonction
  • Utilisateur : autorisation au niveau de l'utilisateur
  • Système : Autorisation au niveau de l'application de fonction
  • Administrateur : autorisation d'administrateur.
L’application de fonction Azure peut héberger plusieurs fonctions. La fonction de déclenchement HTTP en fait partie.

Clés Hôte

Lorsque nous créons une application de fonction Azure, elle crée automatiquement deux clés d'application, default et _master. C'est ce qu'on appelle des clés d'hôte. Les clés hôte sont applicables à toutes les fonctions de l’application de fonction et peuvent être utilisées pour appeler toutes les fonctions de l’application de fonction.

Clés de Fonction

Toute fonction Azure (sans AuthorizationLevel.Anonymous) que vous ajoutez dans l'application de fonction générera une clé de fonction nommée par défaut, valable uniquement pour cette fonction particulière.

Elles peuvent être déployées facilement via AzureDevOps et la tache AzureFunctionApp@1.

KeyVault

Using User Assigned identity for keyvault references.

AppSettings
    "keyVaultReferenceIdentity"       = azurerm_user_assigned_identity.grace_id.id

Terraform Property
 // identity for KV access
  key_vault_reference_identity_id = azurerm_user_assigned_identity.grace_id.id

Ressources

  • https://learn.microsoft.com/en-us/azure/azure-functions/function-keys-how-to
  • https://learn.microsoft.com/en-us/azure/azure-functions/functions-bindings-http-webhook-trigger
  • https://learn.microsoft.com/fr-fr/azure/app-service/app-service-key-vault-references
  • https://learn.microsoft.com/en-us/azure/app-service/app-service-key-vault-references?tabs=azure-cli#access-vaults-with-a-user-assigned-identity

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Base de Données Sybase IQ

Par -
Introduction Stockage colonnes et Sybase IQ * Sybase IQ stocke les données "en colonnes" et non "en lignes" * Sybase IQ compresse les données * Sybase IQ dispose de procédés d'indexation "bitmap" et "bitwise" * Sybase IQ dispose d'un grand nombre de méthodes d'accès et de jointures (hash join, sort merge, ...) * Sybase IQ n'utilise pas un journal de transactions pour assurer la cohérence de la base lors des mises à jour, mais conserve les différentes versions des pages de données modifies (les mises à jour ensemblistes sont alors plus rapides mais la concurrence d'accès sur une même table est très limitée) Sybase IQ a pour objectif d'exécuter très rapidement des requêtes d'interrogation sur des grosses volumétries, mais ne supporte pas des mises à jour concurrentes sur une même table. La mise à jour d'une base Sybase IQ s'effectuera donc soit périodiquement par un traitement batch, ou en continu par u...
Lire la suite

Sécurité des Applications

Par -
Introduction à la sécurité Outils pour la sécurité Les outils pour la sécurité recouvrent des notions à peu près identiques quelque soit le domaine de l'informatique que l'on considère. Les catégories développées ici sont présentes dans les trois problématiques traités dans la suite : le code, le réseau et les applications web. Les outils de contrôle d'accès et de filtrage Notions : contrôle d'accès discrétionnaire, ressources informatiques, règles d'accès, chaînage de droits, authentification forte, les trois types d'authentifications, architectures de contrôle d'accès, filtrage des flux. Le contrôle d'accès : c'est permettre à un sujet d'accéder à un système sous certaines conditions et d'effectuer un certain nombre d'opérations sur un objet défini. Ceci doit théoriquement permettre d'envisager tous les situations d'accès possibles mais la multiplication des sujets, des objets et des règles rend une vision globale difficile. Le ...
Lire la suite

Principes de la Programmation Orientée Objet

Par -
Principes Généraux : Objet et Classe Un objet est un concept de programmation qui groupe des fonctionnalités dans une entité, entité qui peut ensuite être créée à la demande. Une classe est l'implémentation d'un objet, c'est-à-dire une unité de code contenant les attributs et fonctions décrivant un objet. Encapsulation L'encapsulation consiste d'une part, à regrouper au sein d'une même entité (la classe), des propriétés et méthodes (les attributs) et d'autre part à définir la visibilité de ces attribvutes (privé, protege...) de façon à présenter une interface permettant de manipuler une classe sans en connaitre le fonctionnement interne. L’encapsulation permet de faire voir l’objet à l’extérieur comme une boîte noire ayant certaines attributs (proriétés et fonctions) et ayant un comportement spécifié. La manière dont ces propriétés ont été implémentées est alors cachée aux utilisateurs de la classe. L’implémentation peut être modifiée sans changer le comport...
Lire la suite