Azure密钥库/存储/功能集成
理想的方法似乎是在microsoft.azure.storage.CloudStorageAccount中添加一个新的设置,
internal const string AccountKeyVaultLocationSettingString = "AccountKeyVaultLocation";
然后将逻辑添加到ParseImpl中,以便将表示秘密的KeyVault URL传递到该方法中,然后它将从那里查询密钥。
另一个选项是覆盖microsoft.azure.webjobs.script.scaling.StorageConnectionString(以及类似的连接字符串设置),以便它查询KeyVault。
共有1个答案
事实上,使用这种方式,您可以在没有版本号的情况下成功地获得您的连接字符串。但是,正如您所说,webapp将加载appsettings一次,即使连接字符串在Key vault中旋转,它也不会被更新:我们应该重新启动webapp从KV加载最新的连接字符串版本。
您可以使用Azure app configuration,这是一个集中配置服务,您可以轻松地从KV读取最新的连接字符串,而无需重新启动您的WebApp。但是,你应该关心Azure app配置连接字符串的安全性,如果你需要经常旋转它,我们回去。
也许使用Azure函数MSI从KV获取连接字符串是我这里知道的最好的方法,试试下面的代码:
using System;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Azure.WebJobs;
using Microsoft.Azure.WebJobs.Extensions.Http;
using Microsoft.AspNetCore.Http;
using Microsoft.Extensions.Logging;
using Microsoft.Azure.KeyVault;
using Microsoft.Azure.Services.AppAuthentication;
using Microsoft.Azure.KeyVault.Models;
namespace FunctionWithAppConfig
{
public static class Function1
{
[FunctionName("Function1")]
public static async Task<IActionResult> Run(
[HttpTrigger(AuthorizationLevel.Anonymous, "get", "post", Route = null)] HttpRequest req, ILogger log)
{
log.LogInformation("C# HTTP trigger function processed a request.");
var azureServiceTokenProvider = new AzureServiceTokenProvider();
string accessToken = await azureServiceTokenProvider.GetAccessTokenAsync("https://vault.azure.net");
KeyVaultClient kv = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(azureServiceTokenProvider.KeyVaultTokenCallback));
SecretBundle sec = await kv.GetSecretAsync("<your key vault url without version >");
var StorageConn = sec.Value;
// connect to your storage ...
return new OkObjectResult(StorageConn);
}
}
}
-
我有一个premium storage account,在创建这个帐户后我就启用了加密,我找到了这个链接https://docs.microsoft.com/en-us/azure/storage/storage-service-encryption来检查blob是否加密。 现在,如果我使用Azure key vault加密OS盘和数据盘,它也用于保护静止数据,但加密存储帐户也会做同样的事情。有谁
-
我没有找到任何关于在前端端实现逻辑来管理Azure密钥库的可能性的信息。同时,我创建了一个Node JS服务器项目使用ENV来管理Azure Key Vault,它工作成功,但我想在我的Angular应用程序中得到同样的效果。
-
MySQL Server Enterprise edition与Hashicorp集成,在静止状态下加密数据。加密密钥存储在HashiCorp存储库中,如MySQL文档中所述。 基于HashiCorp文档[1][2],我们可以使用Azure密钥库来存储秘密。 是否可以集成mysql-hashicorp-Azure密钥库 MySQL Enterprise Edition使用hashicorp加密 加
-
同一空间/存储库中机密的逻辑分组 HSM的可能性 日志记录/审核 检索/更改机密的一个位置,许多应用程序可能依赖该位置而不触及应用程序。 我不知道如何在我的Spring Boot应用程序中处理存储库访问。当我使用azure-key-vault spring boot Starter时,我必须设置Applications.Properties中的访问权限,如本教程:如何使用spring boot S
-
我无法访问托管密钥库中的存储帐户密钥。下面是我的代码: 似乎$secret.secretValueText为空/null。如何正确检索存储帐户密钥?这就是出现的错误。
-
这个Python脚本被部署为从Azure函数应用程序运行在Linux消费计划上,这个脚本被期望从Azure密钥库中读取机密。 除了代码部署之外,还进行了以下配置 null 此错误说明应用程序没有密钥库上的机密获取权限,但如上所述,将角色分配给在密钥库上具有阅读器角色的功能应用程序。 配置中可能出现的问题是什么?如何缓解?