Gestione dei segreti di Spring Cloud di Azure

Questo articolo si applica a: ✔️ Versione 4.14.0 ✔️ versione 5.8.0

Costrutto PropertySource spring cloud di Azure che contiene i segreti archiviati nei segreti di Azure Key Vault.

Configurazione delle dipendenze

<dependency>
    <groupId>com.azure.spring</groupId>
    <artifactId>spring-cloud-azure-starter-keyvault-secrets</artifactId>
</dependency>

Suggerimento

È anche disponibile spring-cloud-azure-starter-keyvault per supportare tutte le funzionalità di Key Vault. Se si sceglie di usarlo, spring.cloud.azure.keyvault.enable è la proprietà da configurare e il valore predefinito è true. È quindi possibile usare spring.cloud.azure.keyvault.<keyvault-service>.enable per disabilitare i servizi non necessario.

Utilizzo di base

Se si vuole eseguire l'autenticazione con client-id e client-secret, sono necessarie le proprietà seguenti:

Configuration Properties

spring:
  cloud:
    azure:
      keyvault:
        secret:
          property-sources:
            - name: key-vault-property-source-1
              endpoint: ${ENDPOINT_1}
            - name: key-vault-property-source-2
              endpoint: ${ENDPOINT_2}

Codice Java

@SpringBootApplication
public class SampleApplication implements CommandLineRunner {

    @Value("${sampleProperty1}")
    private String sampleProperty1;
    @Value("${sampleProperty2}")
    private String sampleProperty2;
    @Value("${samplePropertyInMultipleKeyVault}")
    private String samplePropertyInMultipleKeyVault;

    public static void main(String[] args) {
        SpringApplication.run(SampleApplication.class, args);
    }

    public void run(String[] args) {
        System.out.println("sampleProperty1: " + sampleProperty1);
        System.out.println("sampleProperty2: " + sampleProperty2);
        System.out.println("samplePropertyInMultipleKeyVault: " + samplePropertyInMultipleKeyVault);
    }
}

Uso avanzato

Caratteri speciali nel nome della proprietà

I nomi dei segreti di Key Vault supportano solo i caratteri in [0-9a-zA-Z-]. Per altre informazioni, vedere la sezione Nome dell'insiemedi credenziali e Nome oggetto della panoramica delle chiavi, dei segreti e dei certificati di Azure Key Vault. Se il nome della proprietà contiene altri caratteri, è possibile usare le soluzioni alternative descritte nelle sezioni seguenti.

Usare - invece di . nei nomi dei segreti

. non è supportato nei nomi dei segreti. Se l'applicazione ha un nome di proprietà che contiene ., ad esempio spring.datasource.url, sostituire . con quando - si salva il segreto in Azure Key Vault. Ad esempio, salvare spring-datasource-url in Azure Key Vault. Nell'applicazione è comunque possibile usare spring.datasource.url per recuperare il valore della proprietà.

Nota

Questo metodo non può soddisfare un requisito come spring.datasource-url. Quando si salva spring-datasource-url in Key Vault, solo spring.datasource.url e spring-datasource-url è supportato per recuperare il valore della proprietà, ma spring.datasource-url non è supportato. Per gestire questo caso, vedere la sezione Usare segnaposto delle proprietà.

Usare segnaposto delle proprietà

Si supponga, ad esempio, di impostare questa proprietà nel file application.properties :

property.with.special.character__=${propertyWithoutSpecialCharacter}

L'applicazione otterrà un propertyWithoutSpecialCharacter nome di chiave e assegnerà il relativo valore a property.with.special.character__.

Distinzione maiuscole/minuscole

Per abilitare la modalità di distinzione tra maiuscole e minuscole, è possibile impostare la proprietà seguente:

spring.cloud.azure.keyvault.secret.property-sources[].case-sensitive=true

Non recuperare tutti i segreti in Key Vault

Se sono stati archiviati 1000 segreti nell'insieme di credenziali delle chiavi e si vogliono usare solo 3 di essi. È possibile elencare i 3 nomi dei segreti in spring.cloud.azure.keyvault.secret.property-sources[].secret-keysbase a .

Impostazione dell'intervallo di aggiornamento

Per impostazione predefinita, i segreti in KeyVaultPropertySource verranno aggiornati ogni 30 minuti. È possibile configurare l'ora in spring.cloud.azure.keyvault.secret.property-sources[].refresh-intervalbase a . Ad esempio: spring.cloud.azure.keyvault.secret.property-sources[].refresh-interval=60m indica l'aggiornamento ogni 60 minuti. Impostare su 0 per disabilitare l'aggiornamento automatico.

Priorità PropertySource

Se la chiave esiste in più PropertySources, che avrà effetto viene deciso in base alla priorità.

  • Se non è presente alcun SystemEnvironmentPropertySource elenco PropertySource, KeyVaultPropertySource assumerà la priorità più alta.
  • Se nell'elenco PropertySource è SystemEnvironmentPropertySource presente una SystemEnvironmentPropertySource priorità più alta rispetto a KeyVaultPropertySource. Ciò significa che è possibile usare la variabile di ambiente per eseguire l'override del valore del segreto dell'insieme di credenziali delle chiavi nell'applicazione.
  • Se nell'elenco PropertySource sono presenti più KeyVaultPropertySource, l'ordine di definizione è l'ordine di priorità. Si supponga, ad esempio, key-vault-property-souece-1 di avere una priorità più alta rispetto key-vault-property-souece-2a .

Tutte le proprietà configurabili

Proprietà Valore predefinito Descrizione
spring.cloud.azure.keyvault.secret.property-source-enabled vero Indica se abilitare l'origine della proprietà Key Vault.
spring.cloud.azure.keyvault.secret.property-sources[].name Nome dell'origine della proprietà.
spring.cloud.azure.keyvault.secret.property-sources[].endpoint Endpoint di Azure Key Vault.
spring.cloud.azure.keyvault.secret.property-sources[].distinzione tra maiuscole e minuscole false Indica se le chiavi segrete fanno distinzione tra maiuscole e minuscole.
spring.cloud.azure.keyvault.secret.property-sources[].secret-keys Chiavi segrete supportate per questa origine di proprietà. Tutte le chiavi vengono recuperate se questa proprietà non è presente.
spring.cloud.azure.keyvault.secret.property-sources[].refresh-interval 30 min Intervallo di tempo per aggiornare tutti i segreti di Key Vault.
spring.cloud.azure.keyvault.secret.property-sources[].service-version Versione del servizio segreto usata durante l'esecuzione di richieste API.
spring.cloud.azure.keyvault.secret.property-sources[].client Proprietà correlate al client.
spring.cloud.azure.keyvault.secret.property-sources[].credential Proprietà correlate alle credenziali.
spring.cloud.azure.keyvault.secret.property-sources[].profile Profilatura delle proprietà correlate.
spring.cloud.azure.keyvault.secret.property-sources[].proxy Proprietà correlate al proxy.
spring.cloud.azure.keyvault.secret.property-sources[].retry Riprovare le proprietà correlate.
  • Vedere Autorizzare l'accesso con Microsoft Entra ID per assicurarsi che all'entità di sicurezza sia stata concessa l'autorizzazione sufficiente per accedere ai segreti di Azure Key Vault.
  • Se verranno usate proprietà comuni come client, profilecredential, , retryproxynon configurate in .spring.cloud.azure.keyvault.secret.property-sources[].xxxspring.cloud.azure.xxx Per altre informazioni su queste proprietà comuni, vedere Configurazione di Spring Cloud Azure .
  • Per altre informazioni sulle proprietà annidate, vedere Proprietà di configurazione di Spring Cloud Azure.

Esempi

Vedere gli esempi spring-cloud-azure-starter-keyvault-secrets in GitHub.