使用Azure密钥库旋转秘密
使用AKV管理存储帐户:https://docs.microsoft.com/en-us/Azure/key-vault/key-vault-overview-storage-keys-powershell#manage-storage-account-keys
使用Azure Automation进行密钥循环:https://docs.microsoft.com/en-us/Azure/key-vault/key-vault-key-rotation-log-monitoring#key-rotation-using-azure-Automation
我想知道是否有来自Cosmos团队对AKV集成的内置支持来维护机密/密钥?
共有1个答案
目前不支持在宇宙DB中直接旋转按键和更新AKV。您需要编写并运行PowerShell或az cli脚本来完成此操作。
以下是为COSMOS重新生成密钥的示例。ps:https://docs.microsoft.com/en-us/azure/cosmos-db/manage-with-powershell#regenerate-keys
CLI:https://docs.microsoft.com/en-us/azure/cosmos-db/manage-with-cli#regenerate-account-key
-
目前,在我看来,有很多方法可以引用秘密: 使用@或 直接,在存储库中为fx一个名为secret的秘密,然后直接引用它 具有Azure函数,或 配置已运行的应用程序,并将密钥存储库添加到堆栈 我很难看出什么时候用什么。
-
数以千计的秘密在我的蓝色钥匙库里。所以每当我需要在Azure门户检查/查看秘密值时,我将需要在多次加载所有秘密后向上滚动到最后。除了API之外,还有什么捷径可以看到吗?比你提前!!
-
我通过在配置中设置属性从Azure函数中的密钥库中获取机密,方法是: 我不在上面的设置中使用秘密版本,这样每当键旋转发生时,它就会拉出最新的秘密版本。
-
我正在python中构建由事件网格事件触发的Azure函数,它应该能够从Kay Vault收集秘密。 我将系统分配的托管标识添加到我的功能应用程序中,然后我可以在密钥库访问策略中选择我的应用程序。我授予它如下所示的权限: (我尝试了不同的组合在这一个)
-
null 例如,轮转设定为7天。所以我在我的应用程序中编码每7天刷新一次...不好,因为很难精确计时。 另一种方法是,如果我的应用程序面临身份验证异常,只需刷新密码,建立一个新的连接,并重试应用程序逻辑。 行业标准是什么?