Spring Boot-Azure密钥存储库管理存储库访问机密

我是Key Vault的Azure SDK开发人员。Azure Key Vault提供了一个集中的、安全的存储库，它可以用不同的权限集对多个人、服务主体（应用程序）或托管身份（稍后将详细介绍）进行身份验证。Like维护者可能能够列出、获取和设置机密、密钥和证书，而应用程序和托管标识可能只能获取和列出（如果出于某种原因需要枚举所有机密，比如某些应用程序配置启动例程来填充匹配某种模式的所有机密）。这提供了一种方法来控制谁可以访问什么，以及访问到什么程度。

理想情况下--如建议的那样--尽可能使用托管标识。托管标识允许您使用Azure管理的特定ID运行应用程序。未提供密码。应用程序以该身份运行，您可以在密钥库中以任何符合您需要的权限授予对该身份的访问权。

您引用的示例倾向于使用简单的示例来解释一个概念，但是我们已经意识到并正在尝试更新这样的文档以推荐托管标识。

例如,您的应用程序可以使用在执行安全性之前设置的环境变量,如下所示：

AZURE_TENANT_ID="some GUID - doesn't really have to be secret, but doesn't hurt"
AZURE_CLIENT_ID="secret GUID for service principal ID"
AZURE_CLIENT_SECRET="secret value for service principal ID"

然后，使用我们的Azure.*包，您可以让您的代码执行如下操作：

SecretAsyncClient secretAsyncClient = new SecretClientBuilder()
  .vaultUrl("https://myvault.vault.azure.net/")
  .credential(new DefaultAzureCredentialBuilder().build())
  .buildAsyncClient();

String secret;
secretAsyncClient.getSecret("secretName")
  .subscribe(secretWithVersion ->
    secret = secretWithVersion.getValue());

您可以使用这个或者更好的是使用不同的服务主体来进行开发。在开发Azure Key Vault SDK时，我设置了自己的SP，仅用于开发目的，而我们的测试运行人员使用Azure DevOps中的变量使用不同的SP，这些变量是从经过身份验证的Key Vault连接中提取的。