Šifrování neaktivních uložených dat aplikace pomocí klíčů spravovaných zákazníkem

  • Článek

Šifrování neaktivních uložených dat aplikace funkcí vyžaduje účet služby Azure Storage a Key Vault Azure. Tyto služby se používají při spouštění aplikace z balíčku nasazení.

  • Azure Storage poskytuje šifrování neaktivních uložených uložených dat. Můžete použít klíče poskytované systémem nebo vlastní klíče spravované zákazníkem. Tady se ukládají data vaší aplikace, když nejsou spuštěná v aplikaci funkcí v Azure.
  • Spuštění z balíčku pro nasazení je funkce nasazení App Service. Umožňuje nasadit obsah webu z účtu služby Azure Storage pomocí adresy URL sdíleného přístupového podpisu (SAS).
  • Key Vault odkazy jsou funkcí zabezpečení App Service. Umožňuje importovat tajné kódy za běhu jako nastavení aplikace. Použijte ho k zašifrování adresy URL SAS účtu služby Azure Storage.

Nastavení šifrování neaktivních uložených uložených dat

Vytvoření účtu Azure Storage

Nejprve vytvořte účet Azure Storage a zašifrujte ho pomocí klíčů spravovaných zákazníkem. Po vytvoření účtu úložiště použijte Průzkumník služby Azure Storage k nahrání souborů balíčků.

Dále pomocí Průzkumník služby Storage vygenerujte SAS.

Poznámka

Uložte tuto adresu URL SAS, která se později použije k povolení zabezpečeného přístupu k balíčku nasazení za běhu.

Konfigurace spuštění z balíčku z účtu úložiště

Jakmile soubor nahrajete do úložiště objektů blob a budete mít adresu URL SAS pro soubor, nastavte WEBSITE_RUN_FROM_PACKAGE nastavení aplikace na adresu URL SAS. Následující příklad to provede pomocí Azure CLI:

az webapp config appsettings set --name <app-name> --resource-group <resource-group-name> --settings WEBSITE_RUN_FROM_PACKAGE="<your-SAS-URL>"

Přidání tohoto nastavení aplikace způsobí restartování aplikace funkcí. Po restartování aplikace přejděte na ni a ujistěte se, že se aplikace správně spustila pomocí balíčku pro nasazení. Pokud se aplikace nespustí správně, projděte si průvodce odstraňováním potíží se spuštěním z balíčku.

Šifrování nastavení aplikace pomocí odkazů na Key Vault

Teď můžete hodnotu WEBSITE_RUN_FROM_PACKAGE nastavení aplikace nahradit Key Vault odkazem na adresu URL kódovanou SAS. Tím se adresa URL SAS zašifruje v Key Vault, což poskytuje další vrstvu zabezpečení.

  1. Pomocí následujícího az keyvault create příkazu vytvořte instanci Key Vault.

    az keyvault create --name "Contoso-Vault" --resource-group <group-name> --location eastus

  2. Postupujte podle těchto pokynů a udělte aplikaci přístup k trezoru klíčů:

  3. Pomocí následujícího az keyvault secret set příkazu přidejte externí adresu URL jako tajný kód do trezoru klíčů:

    az keyvault secret set --vault-name "Contoso-Vault" --name "external-url" --value "<SAS-URL>"

  4. Pomocí následujícího az webapp config appsettings set příkazu vytvořte WEBSITE_RUN_FROM_PACKAGE nastavení aplikace s hodnotou jako Key Vault odkazem na externí adresu URL:

    az webapp config appsettings set --settings WEBSITE_RUN_FROM_PACKAGE="@Microsoft.KeyVault(SecretUri=https://Contoso-Vault.vault.azure.net/secrets/external-url/<secret-version>"

    Bude <secret-version> ve výstupu předchozího az keyvault secret set příkazu.

Aktualizace tohoto nastavení aplikace způsobí restartování aplikace funkcí. Po restartování aplikace přejděte na ni a ujistěte se, že se správně spustila pomocí Key Vault odkazu.

Jak otočit přístupový token

Osvědčeným postupem je pravidelně obměňovat klíč SAS účtu úložiště. Abyste zajistili, že aplikace funkcí nechtěně nepřijde o přístup, musíte také aktualizovat adresu URL SAS v Key Vault.

  1. Klíč SAS obměňte tak, že přejdete na svůj účet úložiště v Azure Portal. V části Nastavení>Přístupové klávesy vyberte ikonu pro otočení klíče SAS.

  2. Zkopírujte novou adresu URL SAS a pomocí následujícího příkazu nastavte aktualizovanou adresu URL SAS v trezoru klíčů:

    az keyvault secret set --vault-name "Contoso-Vault" --name "external-url" --value "<SAS-URL>"

  3. Aktualizujte odkaz na trezor klíčů v nastavení aplikace na novou verzi tajného kódu:

    az webapp config appsettings set --settings WEBSITE_RUN_FROM_PACKAGE="@Microsoft.KeyVault(SecretUri=https://Contoso-Vault.vault.azure.net/secrets/external-url/<secret-version>"

    Bude <secret-version> ve výstupu předchozího az keyvault secret set příkazu.

Jak odvolat přístup k datům aplikace funkcí

Existují dvě metody odvolání přístupu aplikace funkcí k účtu úložiště.

Obměna klíče SAS pro účet služby Azure Storage

Pokud je klíč SAS pro účet úložiště obměněný, aplikace funkcí už nebude mít přístup k účtu úložiště, ale bude dál běžet s poslední staženou verzí souboru balíčku. Restartujte aplikaci funkcí a vymažte tak poslední staženou verzi.

Odebrání přístupu aplikace funkcí k Key Vault

Přístup aplikace funkcí k datům webu můžete odvolat tak, že aplikaci funkcí zakážete přístup k Key Vault. Uděláte to tak, že odeberete zásady přístupu pro identitu aplikace funkcí. Jedná se o stejnou identitu, kterou jste vytvořili dříve při konfiguraci odkazů na trezor klíčů.

Souhrn

Soubory aplikace jsou teď v neaktivním klidovém stavu zašifrované ve vašem účtu úložiště. Při spuštění aplikace funkcí načte adresu URL SAS z vašeho trezoru klíčů. Nakonec aplikace funkcí načte soubory aplikace z účtu úložiště.

Pokud potřebujete odvolat přístup aplikace funkcí k vašemu účtu úložiště, můžete buď odvolat přístup k trezoru klíčů, nebo obměnit klíče účtu úložiště, což zneplatní adresu URL SAS.

Nejčastější dotazy

Účtují se za spuštění aplikace funkcí z balíčku pro nasazení nějaké další poplatky?

Pouze náklady spojené s účtem služby Azure Storage a veškeré příslušné poplatky za výchozí přenos dat.

Jaký vliv má spuštění z balíčku pro nasazení na aplikaci funkcí?

  • Spuštění aplikace z balíčku pro nasazení je wwwroot/ jen pro čtení. Při pokusu o zápis do tohoto adresáře se vaší aplikaci zobrazí chyba.
  • Formáty TAR a GZIP nejsou podporovány.
  • Tato funkce není kompatibilní s místní mezipamětí.

Další kroky