既然应用程序服务可以使用托管身份对其他Azure资源进行身份验证,那么Key Vault是否提供任何好处(安全性或其他方式)? (例如,Azure存储和SQL)
是否有任何理由使用托管身份访问Key Vault并获取存储密钥,例如,现在应用程序服务可以直接使用托管身份与存储进行对话?
答案 0 :(得分:0)
您应该始终使用托管服务身份(如果可用),但是它们并非在所有Azure中都普遍存在。支持的服务列表已维护here。请记住,调用服务需要使用其托管服务标识来支持身份验证,并且被调用服务需要能够使用Azure Active Directory进行身份验证和授权。
当您拥有不直接支持AD身份验证的服务(例如CosmosDB)时,您仍然需要存储和管理密钥,而KeyVault仍然是执行此操作的正确位置。这也适用于某些第三方服务,例如Salesforce,AWS,GCP等,其中可能没有“联盟”。您可能还具有其他不想以纯文本格式存储的敏感配置。
请记住,功能应用程序设置现在可以直接引用KeyVault,从而节省了编写代码和配置以自行管理的开销。 See this link。
答案 1 :(得分:0)
我还要说,应该尽可能使用托管身份。我看到的主要好处是摆脱了您必须管理的凭据。您在此处将身份验证挑战外包给了Microsoft,我会说它非常有效。
保护,刷新,撤消等所需的凭据减少了
我还相信,这符合基础结构作为代码的精神,您可以定义自己与授权有关,并在提供者上保留安全的身份验证。