如何在不存储凭据的情况下连接到KeyVault?
我的Web应用程序在KeyVault中存储了许多安全配置元素。为了连接到它,我们有一些使用应用ID和密钥的代码,而这反过来因为它们允许访问密钥保管库,所以是安全凭证。
我是否可以使用应用程序的身份作为凭据以某种集成安全方式连接到KeyVault?或者是否有其他方法可以保护这些凭据?
我已经考虑过使用加密来保护配置元素,但是那时必须维护,保护和部署另一个资产(密钥)。这比明文配置更好,但我试图在这里找出最佳解决方案。
2 个答案:
答案 0 :(得分:1)
如果您的应用在Web应用中运行,Managed Service Identity会为您的应用提供一个身份,您可以使用该身份使用AAD访问Key Vault和其他资源。
答案 1 :(得分:1)
如果要使用Azure Active Directory从Web App访问Key Vault,可以执行以下操作
- 转到您的网络应用
-
转到托管服务标识并使用Azure Active Directory注册Web应用程序(单击
On按钮,然后单击Save),这将创建托管服务标识。
-
现在转到密钥保险库并打开
Access policies标签 - 点击添加新
- 选择
Secret Management作为从模板配置 -
在“选择主体”选项中,选择托管服务标识 为您的网络应用程序创建(应该作为您的应用程序命名)
-
现在转到密钥权限,至少选择
Get以获取访问权限 你的钥匙(秘密和证书的程序相同)。
完成所有这些步骤后,您可以转到您的网络应用代码并获取,例如,如下所示的秘密:
AzureServiceTokenProvider azureServiceTokenProvider = new AzureServiceTokenProvider();
var keyVaultClient = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(azureServiceTokenProvider.KeyVaultTokenCallback));
var secret = await keyVaultClient.GetSecretAsync("https://keyvaultname.vault.azure.net/secrets/secret").ConfigureAwait(false);
您需要在应用程序中安装Microsoft.Azure.Services.AppAuthentication和Microsoft.Azure.KeyVault NuGet包。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?