Azure容器实例已部署在VNET中,我想将密钥和其他敏感变量存储在Key Vault中,并以某种方式对其进行访问。我在文档中发现,一旦ACI进入VNET,使用受管理身份是当前的限制。 还有另一种绕过此身份并使用Key Vault的方法吗?
我试图避免环境变量和机密卷,因为该容器计划每天运行,这意味着会有一些脚本可以访问所有机密,并且我不想在脚本中公开它们。
答案 0 :(得分:1)
要访问Azure Key Vault,您需要有权访问令牌,您可以将该令牌存储到k8s机密中吗?
如果是,则可以使用任何SKD或CURL命令来利用Key Vault的Rest API在运行时检索机密:https://docs.microsoft.com/en-us/rest/api/keyvault/
如果您不想使用秘密/卷来存储AKV令牌,则最好将令牌烘焙到容器Image中,也许每天都可以使用可以管理其访问权限的新令牌重建映像。在CI流程中同时进行AKS