无法使用python访问azure密钥库机密
我已经能够通过外部web应用程序使用oauth rest api访问azure key vault,但出于某种原因,我无法从密钥中检索机密。经过长时间的研究,我发现用powershell和C#可以做到这一点,但还没有找到用Python解决方案。有人知道python是否有可能,或者有一种方法可以模拟powershell正在做什么吗?以下是检索秘密的代码:
def getSecret(vault_name, secret_name, secret_version = ''):
#Get acess token to azure account
data = { "grant_type" : "client_credentials",
"client_id" : 'appidxx',
"client_secret" : 'appsecretxx',
"resource" : "https://vault.azure.net"
}
headers = { "Content-Type" : "application/x-www-form-urlencoded" }
r = requests.post("https://login.windows.net/{}/oauth2/token".format('my tenant id'), data=data, headers=headers)
access_token = r.json()['access_token']
#Get secret from KeyVault
headers = {"Authorization":"Bearer {}".format(access_token) }
r = requests.get('https://{}.vault.azure.net/secrets/{}/{}?api-version=2015-06-01'.format(vault_name, secret_name, secret_version), headers=headers)
result = r.json()
if 'value' in result.keys():
return result["value"]
else:
return 'Secret Not Found'
def searchSecret(secret_name, secret_version = ''):
subscription_id = 'subscription id'
credentials = ServicePrincipalCredentials(
client_id= 'appidxx',
secret= 'appsecretxx',
tenant= 'tenantidxx'
)
kvm_client = KeyVaultManagementClient(credentials, subscription_id )
for vault in kvm_client.vaults.list():
#return when secret found in vault
secret = getSecret(vault.name, secret_name, secret_version = '')
if (secret != 'Secret Not Found'):
return secret
return 'Secret Not Found'
此外,我已经在azure portal中注册了我的应用程序,并授予了对我的密钥和机密的权限,但我注意到,当通过访问策略授予对我的应用程序的访问权限时,“授权应用程序”选项被锁定,我无法添加我的应用程序,这可能是我的问题的根本原因??截图
共有1个答案
如果您希望使用Azure SDK更容易地访问机密,可以使用Python中的Key Vault来替换Azure-KeyVault:
- Azure-KeyVault-Certificates(迁移指南)
- Azure-keyvault-keys(迁移指南)
- Azure-KeyVault-Secrets(迁移指南)
azure-identity也是应该与这些一起用于身份验证的包。
from azure.identity import DefaultAzureCredential
from azure.keyvault.secrets import SecretClient
from azure.mgmt.keyvault import KeyVaultManagementClient
credential = DefaultAzureCredential()
subscription_id = "subscription id"
def getSecret(vault_url, secret_name, secret_version=None):
client = SecretClient(vault_url, credential)
# list the secrets in the vault
secret_properties = client.list_properties_of_secrets()
for secret_property in secret_properties:
if secret_property.name == secret_name:
# get secret from Key Vault
return client.get_secret(secret_name, secret_version)
return "Secret Not Found"
def searchSecret(secret_name, secret_version=None):
kvm_client = KeyVaultManagementClient(credential, subscription_id)
for vault in kvm_client.vaults.list():
# return when secret found in vault
secret = getSecret(vault.properties.vault_uri, secret_name, secret_version)
if secret != "Secret Not Found":
return secret
return "Secret Not Found"
通过设置与client_id、secret和tunner相对应的环境变量,可以提供与用于ServicePrincipalCredentials相同的凭据:
export AZURE_CLIENT_ID="appidxx"
export AZURE_CLIENT_SECRET="appsecretxx"
export AZURE_TENANT_ID="tenantidxx"
(我使用Python开发Azure SDK)
-
是否有一种方法可以使用Delphi访问Azure密钥库?我可以使用柏林的data.cloud.azureapi单元访问数据库和blob存储,但想从密钥库中获取数据库连接字符串,但似乎找不到任何用于此操作的代码。
-
我已经在Azure广告中注册了我的应用程序,并获得了应用程序ID和身份验证密钥,我允许我的应用程序从密钥库中读取机密。在我的U-SQL脚本中,我引用了所有需要的程序集。 当我在本地运行我的脚本时,一切都很好(这意味着从本地机器到AD和密钥库的连接是正常的),但是当我在远程数据湖分析帐户上提交它以执行时,我得到了以下错误: 无法解析远程名称:'my-key-vault-name.vault.azur
-
我得到的错误是“Access Denied”,这(我认为)意味着id、secret和Vault的url没有问题。但是,我不知道我可以做什么来修复这个错误,也许在Azure门户中有一个设置阻止我读取一个秘密?
-
这在调试期间也有效,但是当我发布到Azure时,它也会失败,因为我的密钥返回null。 任何帮助在哪里我应该看看如何解决这将是伟大的。为什么在生产中会得到null,而在提供相同凭据时却不进行调试?