我试图允许应用程序服务(python)从azure keyvault获取秘密,而不使用硬编码的客户端ID/秘密,因此我尝试使用ManagedIdentity。
代码:
credentials_object = ManagedIdentityCredential()
client = SecretClient(vault_url=VAULT_URL, credential=credentials_object)
value = client.get_secret('MYKEY').value
错误(当部署应用程序和本地运行时):
azure.identity._exceptions.CredentialUnavailableError:ManagedIdentityCredential 身份验证不可用,未找到托管标识端点。
我错过了什么? 谢谢!
重要的是要了解,Azure 中的托管身份功能仅在部署应用服务时才相关。这意味着您可能希望使用
DefaultAzureCredential()
库中的 Azure.Identity
,该库在本地运行和部署的 Web 应用程序时都是兼容的。
此类将沿着可能的身份验证方法的层次结构运行,并且在本地运行时,我更喜欢使用服务主体。在 Azure CLI 中运行以下命令来创建服务主体:
az ad sp create-for-rbac --name localtest-sp-rbac --skip-assignment
。然后,您可以在 IAM 中为所需的 Azure 服务添加服务主体 localtest-sp-rbac
。
我建议阅读本文以获取更多信息以及如何配置本地环境:https://learn.microsoft.com/en-us/azure/developer/python/configure-local-development-environment
您可以在
Azure 文档中查看
DefaultAzureCredential()
所经历的凭据类型列表。
就我而言,这是将多个托管身份附加到我的虚拟机的问题。我正在尝试使用 ManagedIdentityCredential 从 AKS 访问 Azure 存储帐户。当我将 MI 的 client_id 指定为:
credentials_object = ManagedIdentityCredential(client_id='XXXXXXXXXXXX')
它开始工作了! here还提到,如果VM或VMSS附加了多个身份,我们需要指定MI的client_id。