从具有MSI的Linux虚拟机中的带有节点的Azure密钥库中获取秘密

时间:2019-04-08 14:55:40

标签: node.js typescript azure azure-keyvault

我在使用azure-keyvault软件包从azure的linux vm上运行的节点应用程序中使用azure-keyvault软件包获取azure密钥库的秘密时遇到了问题。

我正在使用以下代码:

import * as KeyVault from 'azure-keyvault';
import * as msRestAzure from 'ms-rest-azure'

function getKeyVaultCredentials(){
    return msRestAzure.loginWithVmMSI();
}

function getKeyVaultSecret(credentials) {
    let keyVaultClient = new KeyVault.KeyVaultClient(credentials,null);
    return keyVaultClient.getSecret("my keyvault url here", 'my keyvault secret name here', "", null,null);
}

getKeyVaultCredentials().then(
    getKeyVaultSecret
).then(function (secret){
    //not getting here....
}).catch(function (err) {
    //...error handling...
});

调用getSecret时收到401响应。 在密钥库和MSI上已为计算机设置了权限。 在错误消息中,虽然我确实在响应中看到的标题看起来像是身份验证标头,但似乎没有任何身份验证标头或令牌。

我的实现过程中缺少什么吗?

编辑: 如果我使用

,我在这里分享的示例似乎可以正常工作 
msRestAzure.loginWithVmMSI({resource: 'https://vault.azure.net' });

而不是没有参数地调用它。

3 个答案:

答案 0 :(得分:1)

在密钥库中,确保已使用正确的秘密权限在Access policies中添加了服务主体(通过启用MSI自动创建)。然后尝试点击Click to show advanced access policies->选择Enable access to Azure Virtual Machines for deployment选项->保存。

这是一个代码示例,您可以检查检索秘密值的部分。

var http = require('http');
const KeyVault = require('azure-keyvault');
const msRestAzure = require('ms-rest-azure');


var server = http.createServer(function(request, response) {
    response.writeHead(200, {"Content-Type": "text/plain"});
});

// The ms-rest-azure library allows us to login with MSI by providing the resource name. In this case the resource is Key Vault.
// For public regions the resource name is Key Vault
msRestAzure.loginWithAppServiceMSI({resource: 'https://vault.azure.net'}).then( (credentials) => {
    const keyVaultClient = new KeyVault.KeyVaultClient(credentials);

    var vaultUri = "https://" + "<YourVaultName>" + ".vault.azure.net/";

    // We're setting the Secret value here and retrieving the secret value
    keyVaultClient.setSecret(vaultUri, 'my-secret', 'test-secret-value', {})
        .then( (kvSecretBundle, httpReq, httpResponse) => {
            console.log("Secret id: '" + kvSecretBundle.id + "'.");
            return keyVaultClient.getSecret(kvSecretBundle.id, {});
        })
        .then( (bundle) => {
            console.log("Successfully retrieved 'test-secret'");
            console.log(bundle);
        })
        .catch( (err) => {
            console.log(err);
        });

    // Below code demonstrates how to retrieve a secret value

    // keyVaultClient.getSecret(vaultUri, "AppSecret", "").then(function(response){
    //     console.log(response);    
    // })
});

有关更多详细信息,请参阅:Set and retrieve a secret from Azure Key Vault using a Node Web App

答案 1 :(得分:1)

这在新的 @azure/keyvault-secrets 包中得到了简化,其中 SecretClient 可以从 DefaultAzureCredential 包中获取 @azure/identity,而 const { SecretClient } = require("@azure/keyvault-secrets"); const { DefaultAzureCredential } = require("@azure/identity"); async function getValue(secretName, secretVersion) { const credential = new DefaultAzureCredential(); const client = new SecretClient(KEY_VAULT_URI, credential); const secret = await client.getSecret(secretName); return secret.value; } 包又足够智能,可以使用 MSI在 VM 中运行时的详细信息以及在本地开发环境中运行时的开发人员凭据(如 VS Code 或 Azure CLI)。您可以在 readme for @azure/identity

中了解更多信息

有了这个,您的代码将被简化为

azure-keyvault

要将您的应用程序从现已弃用的旧版 "%c" 软件包中移出,您可以看到 migration guide to the new @azure/keyvault-secrets

答案 2 :(得分:0)

您可以使用read-azure-secrets来从天蓝色的密钥库中检索所有秘密。

例如

let secretClient = require('read-azure-secrets');

async function loadKeyVaultValues() {

    let applicationID = '';
    let applicationSecret = '';
    let vaultURL = 'https://<your-key-vault-name>.vault.azure.net/';
    let secrets = await secretClient.getSecrets(applicationID, applicationSecret, vaultURL);

    secrets.forEach(secret => {
        console.log(secret);
    });

}

loadKeyVaultValues();
相关问题
最新问题