当前位置: 首页 > 知识库问答 >
问题:

Azure Key Vault秘密存储应用程序用户的秘密

盖成弘
2023-03-14

在我的应用程序中,我必须存储其用户的非常敏感的数据,例如其他第三方服务的各种密码(用户填写表格,向我们提供第三方服务的登录名和密码)

该应用程序的目标是使用从100多个输入生成的powershell脚本来设置其他复杂系统。需要将用户工作保存为草稿,这就是为什么我需要以某种方式加密敏感字段。

我读了很多关于Azure Key Vault的文章,每当我读到有关机密的文章时,它们似乎被描述为保存应用程序设置,而不是用户机密,所以我不确定放置这些数据是否正确。

Azure Key Vault机密是否适合该工作?

此外,我能够像在纯文本中一样在azure门户中窥视这些价值,我希望避免这种情况。我想我可以先对它们进行加密并存储已经加密的值,但这可能过于工程化了。

共有1个答案

黄兴业
2023-03-14

不清楚您所描述的用户机密是什么。如果是用户凭据,那么您需要联合身份提供商(如Azure AD或Azure AD B2C)登录。密钥库不是身份提供者,而是秘密存储。如果是应用程序机密(考虑连接字符串),那么您应该查看密钥库(使用托管服务标识)。

相反,应用程序设置(应用程序内服务)在门户中公开,但在静止时加密。因此,如果您对谁可以访问您的订阅命名空间中的内容非常谨慎,您应该不会有问题。

 类似资料:
  • 为了更清楚地说明,我明白最终必须有人被信任。例如,ops工程师可以拥有自己的凭据来访问Vault,并获得相同数据库的密码。这将允许用户访问,但不允许该用户模拟服务。是否有任何理由ops工程师也应该知道服务自己的凭据,以便在初始化后访问保险库?

  • 我有麻烦管理詹金斯的秘密密码。我希望密码不显示在日志上,但我尝试了两种方法没有成功: 第一次尝试 我尝试使用全局凭据(不受限制)设置用户和pwd,如下所示: 我执行了: 但我可以在日志中看到,用户的写入是正确的,但pwd的写入方式与它的路径相同: 在我的自动测试中,也是通过输入完整路径而不是变量的值。 第二次尝试 我试着用这样的密文: 但控制台日志上显示的是原样的密码。 有人能帮我吗? 先谢谢你。

  • 我们在AWS环境中部署了完整的应用程序,我们发现AWS秘密管理器是存储数据库和其他一些组件的秘密的正确选择。

  • 我成功地实现了在terraform中创建敏感资源的流程,在任何时候都不会透露敏感细节是什么,因此在我们的github repo中不会以纯文本存储。我让TF创建一个服务帐户,它与SA密钥相关,然后创建一个引用SA密钥输出的GCP密钥。 我现在想看看是否有任何方法可以对一些预定义的数据库密码执行相同的操作。流量会略有不同: 手动创建GCP secret(在secrets manager中),该密码的值

  • Microsoft提供了几种方法来获得对Azure密钥存储库机密的安全访问,特别是使用托管身份或服务主体作为身份提供者。然而,这些方法被明确地设计用于处理基于Azure的资源,如web应用程序和微服务。它们不能与UWP/WINUI桌面应用程序一起工作。 到目前为止,我发现的允许UWP/WINUI桌面应用程序访问Key Vault的唯一方法是加载应用程序的Azure注册信息(TenentId、Cli