我试图允许应用服务 (python) 在不使用硬编码客户端 ID/秘密的情况下从 azure keyvault 获取秘密,因此我正在尝试使用 ManagedIdentity。
代码:
credentials_object = ManagedIdentityCredential()
client = SecretClient(vault_url=VAULT_URL, credential=credentials_object)
value = client.get_secret('MYKEY').value
错误(当应用被部署并在本地运行时):
<块引用>azure.identity._exceptions.CredentialUnavailableError:ManagedIdentityCredential 身份验证不可用,找不到托管身份端点。
我错过了什么? 谢谢!
答案 0 :(得分:1)
了解 Azure 中的托管标识功能仅在这种情况下部署应用服务时才相关,这一点很重要。这意味着您可能希望使用 DefaultAzureCredential()
库中的 Azure.Identity
,它在本地运行和部署的网络应用程序时都兼容。
此类将沿可能的身份验证方法的层次结构运行,在本地运行时,我更喜欢使用服务主体,该服务主体可以通过在 Azure CLI 中运行以下内容来创建:az ad sp create-for-rbac --name localtest-sp-rbac --skip-assignment
。然后,您可以在 IAM 中为所需的 Azure 服务添加服务主体 localtest-sp-rbac
。
我建议阅读这篇文章以了解更多信息以及如何配置您的本地环境:https://docs.microsoft.com/en-us/azure/developer/python/configure-local-development-environment
您可以在 Azure docs 中看到 DefaultAzureCredential()
所经过的凭据类型列表。