Azure DevOps->管道->库->访问Azure密钥库->密钥库不允许从所有网络访问
我们已经通过服务连接(服务主体身份验证)在Azure DevOps和Azure Key Vault之间建立了连接。但是,为了使其正常工作,我们需要将Azure密钥库->networking标记为允许从:All networks访问。假定我们将机密存储在此处,我们希望使用选项private endpoint and selected networks,而将allow trusted Microsoft services绕过此防火墙?设置为yes。
像这样:
然而,这会导致Azure DevOps->管道->库上的错误:
或者设置变量组,然后切换回private endpoint和selected networks,在部署时也会出现类似的错误。
MyKey:“客户端地址未经授权,调用方不是受信任的服务。\r\n客户端地址:111.222.333.44\r\n调用方:appid=;oid=000000-0000-0000-0000-0000-00000000000000;iss=https://sts.windows.net//\r\nvault:my-vault;location=northeurope。指定的Azure服务连接需要对选定的密钥存储库具有Get,List secret management权限。若要设置这些权限,请从构建/发布日志下载ProvisionKeyVaultPermissions.ps1脚本并执行,或者从Azure门户
不幸的是,客户机地址每次都是新的,但oid和iss值是相同的。根据文档,只有IPv4地址或CIDR可以添加到防火墙。是否有任何方法将Azure代理标记为受信任的Microsoft服务,或者这是一种不良做法?不过,它看起来确实比所有网络安全得多。
共有1个答案
(作者评论后更新)
您正在使用Microsoft托管代理吗?它们是动态的,也许您可以在Azure中的vm上托管代理。您将知道机器的IP,并允许它在KV设置。
在Microsoft文档中签出自托管代理。
-
是否有一种方法可以使用Delphi访问Azure密钥库?我可以使用柏林的data.cloud.azureapi单元访问数据库和blob存储,但想从密钥库中获取数据库连接字符串,但似乎找不到任何用于此操作的代码。
-
我得到的错误是“Access Denied”,这(我认为)意味着id、secret和Vault的url没有问题。但是,我不知道我可以做什么来修复这个错误,也许在Azure门户中有一个设置阻止我读取一个秘密?
-
我正在尝试从运行在我的Azure批处理节点池中的VM访问我的Azure密钥库中的机密。 然而,我总是遇到例外: 异常消息:已尝试%1个证书。无法获取访问令牌。 具有指纹的证书#1的异常my-thumbprint:密钥集不存在 到目前为止,我一直遵循以下说明:https://docs.microsoft.com/en-us/Azure/key-vault/service-to-service-aut
-
我没有找到任何关于在前端端实现逻辑来管理Azure密钥库的可能性的信息。同时,我创建了一个Node JS服务器项目使用ENV来管理Azure Key Vault,它工作成功,但我想在我的Angular应用程序中得到同样的效果。
-
我正在开发一个将文件上传到Azure存储的.NET应用程序。我正在利用https://azure.microsoft.com/en-us/documentation/articles/storage-encrypt-decrypt-blobs-key-vault/教程中所做的客户端加密 应用程序工作,即,我可以成功地上传一个加密的blob到一个选定的存储帐户和容器。 但是,我对RSA密钥的安全性有