如何在不存储凭据的情况下连接到KeyVault?
问题描述 投票:1回答:2
我的Web应用程序有许多存储在KeyVault中的安全配置元素。为了连接它,我们有一些使用应用ID和密钥的代码,这反过来,因为它们允许访问密钥保管库,是安全凭据。
我可以使用应用程序的身份作为凭证以某种集成安全方式连接到KeyVault吗?或者是否有其他方法来保护这些凭据?
我已经考虑过使用加密保护配置元素,但是还有另一个必须维护,保护和部署的资产(密钥)。这比明文配置更好,但我想在这里找出最好的解决方案。
2个回答
1
投票
投票
如果要使用Azure Active Directory从Web App访问Key Vault,可以执行以下操作
- 转到您的Web应用程序
- 转到托管服务标识并使用Azure Active Directory注册Web应用程序(稍后单击
On按钮和Save),这将创建托管服务标识。 - 现在转到密钥库并打开
Access policies选项卡 - 单击“添加新”
- 从模板中选择
Secret Management作为Configure - 在“选择主体”选项中,选择为您的Web应用程序创建的托管服务标识(应该将其命名为您的应用程序)
- 现在转到Key权限,至少选择
Get,以获取对密钥的访问权限(Secrets和Certificates的相同过程)。
完成所有这些步骤后,您可以转到您的网络应用程序代码并获取,例如,如下所示的秘密:
AzureServiceTokenProvider azureServiceTokenProvider = new AzureServiceTokenProvider();
var keyVaultClient = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(azureServiceTokenProvider.KeyVaultTokenCallback));
var secret = await keyVaultClient.GetSecretAsync("https://keyvaultname.vault.azure.net/secrets/secret").ConfigureAwait(false);
您将需要在您的应用程序中安装Microsoft.Azure.Services.AppAuthentication和Microsoft.Azure.KeyVault NuGet软件包。
1
投票
投票
如果您的应用程序在Web应用程序中运行,Managed Service Identity会为您的应用程序提供一个身份,您可以使用该身份使用AAD访问Key Vault和其他资源。
最新问题
- 使用pyspark连接到MSSQL Server数据库
- VSCode 逻辑应用 func.exe 服务总线传输类型
- 将 RepeatedField 转换为列表
- 找不到变量:_AutofillCallbackHandler
- PHP Dotenv 的路径问题
- 下载后打开文件到下载文件夹
- 内存级别并行性 (MLP) 测量
- 每次提交时运行 shell 命令
- 如何通过 CVAT REST API 上传注释文件
- MongoDB - 如何仅在字段不存在时更新字段
- 每当状态机进入某个状态时触发事件
- 如何使用 Serilog 将用户信息保留在日志中
- 在 R 中,如何在使用 tibble::enframe %>% unlist 转换后从数据帧重组嵌套列表?
- C 中这两个逐个字符读取函数有什么区别?
- 如何使用Python的子进程运行“conda list”命令并将其通过管道传输到文本文件
- java.lang.IllegalStateException:CompositionLocal LocalLifecycleOwner 不存在
- svg 的公共导入在 Next JS v14.2.1 中不起作用,而之前在 v14.0.3 中起作用
- 无法完成Oauth2登录
- 使用 adminCreateUser 命令创建 Cognito 用户后如何确认
- SQL 获取所有至少有5个符合条件的关联的记录
© www.soinside.com 2019 - 2024. All rights reserved.