Gestione dei segreti di Spring Cloud di Azure
Questo articolo si applica a: ✔️ Versione 4.14.0 ✔️ versione 5.8.0
Costrutto PropertySource
spring cloud di Azure che contiene i segreti archiviati nei segreti di Azure Key Vault.
<dependency>
<groupId>com.azure.spring</groupId>
<artifactId>spring-cloud-azure-starter-keyvault-secrets</artifactId>
</dependency>
Suggerimento
È anche disponibile spring-cloud-azure-starter-keyvault
per supportare tutte le funzionalità di Key Vault. Se si sceglie di usarlo, spring.cloud.azure.keyvault.enable
è la proprietà da configurare e il valore predefinito è true. È quindi possibile usare spring.cloud.azure.keyvault.<keyvault-service>.enable
per disabilitare i servizi non necessario.
Se si vuole eseguire l'autenticazione con client-id
e client-secret
, sono necessarie le proprietà seguenti:
spring:
cloud:
azure:
keyvault:
secret:
property-sources:
- name: key-vault-property-source-1
endpoint: ${ENDPOINT_1}
- name: key-vault-property-source-2
endpoint: ${ENDPOINT_2}
@SpringBootApplication
public class SampleApplication implements CommandLineRunner {
@Value("${sampleProperty1}")
private String sampleProperty1;
@Value("${sampleProperty2}")
private String sampleProperty2;
@Value("${samplePropertyInMultipleKeyVault}")
private String samplePropertyInMultipleKeyVault;
public static void main(String[] args) {
SpringApplication.run(SampleApplication.class, args);
}
public void run(String[] args) {
System.out.println("sampleProperty1: " + sampleProperty1);
System.out.println("sampleProperty2: " + sampleProperty2);
System.out.println("samplePropertyInMultipleKeyVault: " + samplePropertyInMultipleKeyVault);
}
}
I nomi dei segreti di Key Vault supportano solo i caratteri in [0-9a-zA-Z-]
. Per altre informazioni, vedere la sezione Nome dell'insiemedi credenziali e Nome oggetto della panoramica delle chiavi, dei segreti e dei certificati di Azure Key Vault. Se il nome della proprietà contiene altri caratteri, è possibile usare le soluzioni alternative descritte nelle sezioni seguenti.
.
non è supportato nei nomi dei segreti. Se l'applicazione ha un nome di proprietà che contiene .
, ad esempio spring.datasource.url
, sostituire .
con quando -
si salva il segreto in Azure Key Vault. Ad esempio, salvare spring-datasource-url
in Azure Key Vault. Nell'applicazione è comunque possibile usare spring.datasource.url
per recuperare il valore della proprietà.
Nota
Questo metodo non può soddisfare un requisito come spring.datasource-url
. Quando si salva spring-datasource-url
in Key Vault, solo spring.datasource.url
e spring-datasource-url
è supportato per recuperare il valore della proprietà, ma spring.datasource-url
non è supportato. Per gestire questo caso, vedere la sezione Usare segnaposto delle proprietà.
Si supponga, ad esempio, di impostare questa proprietà nel file application.properties :
property.with.special.character__=${propertyWithoutSpecialCharacter}
L'applicazione otterrà un propertyWithoutSpecialCharacter
nome di chiave e assegnerà il relativo valore a property.with.special.character__
.
Per abilitare la modalità di distinzione tra maiuscole e minuscole, è possibile impostare la proprietà seguente:
spring.cloud.azure.keyvault.secret.property-sources[].case-sensitive=true
Se sono stati archiviati 1000 segreti nell'insieme di credenziali delle chiavi e si vogliono usare solo 3 di essi. È possibile elencare i 3 nomi dei segreti in spring.cloud.azure.keyvault.secret.property-sources[].secret-keys
base a .
Per impostazione predefinita, i segreti in KeyVaultPropertySource
verranno aggiornati ogni 30 minuti. È possibile configurare l'ora in spring.cloud.azure.keyvault.secret.property-sources[].refresh-interval
base a . Ad esempio: spring.cloud.azure.keyvault.secret.property-sources[].refresh-interval=60m
indica l'aggiornamento ogni 60 minuti. Impostare su 0
per disabilitare l'aggiornamento automatico.
Se la chiave esiste in più PropertySources, che avrà effetto viene deciso in base alla priorità.
- Se non è presente alcun
SystemEnvironmentPropertySource
elenco PropertySource,KeyVaultPropertySource
assumerà la priorità più alta. - Se nell'elenco PropertySource è
SystemEnvironmentPropertySource
presente unaSystemEnvironmentPropertySource
priorità più alta rispetto a KeyVaultPropertySource. Ciò significa che è possibile usare la variabile di ambiente per eseguire l'override del valore del segreto dell'insieme di credenziali delle chiavi nell'applicazione. - Se nell'elenco PropertySource sono presenti più KeyVaultPropertySource, l'ordine di definizione è l'ordine di priorità. Si supponga, ad esempio,
key-vault-property-souece-1
di avere una priorità più alta rispettokey-vault-property-souece-2
a .
Proprietà | Valore predefinito | Descrizione |
---|---|---|
spring.cloud.azure.keyvault.secret.property-source-enabled | vero | Indica se abilitare l'origine della proprietà Key Vault. |
spring.cloud.azure.keyvault.secret.property-sources[].name | Nome dell'origine della proprietà. | |
spring.cloud.azure.keyvault.secret.property-sources[].endpoint | Endpoint di Azure Key Vault. | |
spring.cloud.azure.keyvault.secret.property-sources[].distinzione tra maiuscole e minuscole | false | Indica se le chiavi segrete fanno distinzione tra maiuscole e minuscole. |
spring.cloud.azure.keyvault.secret.property-sources[].secret-keys | Chiavi segrete supportate per questa origine di proprietà. Tutte le chiavi vengono recuperate se questa proprietà non è presente. | |
spring.cloud.azure.keyvault.secret.property-sources[].refresh-interval | 30 min | Intervallo di tempo per aggiornare tutti i segreti di Key Vault. |
spring.cloud.azure.keyvault.secret.property-sources[].service-version | Versione del servizio segreto usata durante l'esecuzione di richieste API. | |
spring.cloud.azure.keyvault.secret.property-sources[].client | Proprietà correlate al client. | |
spring.cloud.azure.keyvault.secret.property-sources[].credential | Proprietà correlate alle credenziali. | |
spring.cloud.azure.keyvault.secret.property-sources[].profile | Profilatura delle proprietà correlate. | |
spring.cloud.azure.keyvault.secret.property-sources[].proxy | Proprietà correlate al proxy. | |
spring.cloud.azure.keyvault.secret.property-sources[].retry | Riprovare le proprietà correlate. |
- Vedere Autorizzare l'accesso con Microsoft Entra ID per assicurarsi che all'entità di sicurezza sia stata concessa l'autorizzazione sufficiente per accedere ai segreti di Azure Key Vault.
- Se verranno usate proprietà comuni come
client
,profile
credential
, ,retry
proxy
non configurate in .spring.cloud.azure.keyvault.secret.property-sources[].xxx
spring.cloud.azure.xxx
Per altre informazioni su queste proprietà comuni, vedere Configurazione di Spring Cloud Azure . - Per altre informazioni sulle proprietà annidate, vedere Proprietà di configurazione di Spring Cloud Azure.
Vedere gli esempi spring-cloud-azure-starter-keyvault-secrets in GitHub.