Безопасные секреты проверки подлинности в Azure Key Vault для Статические веб-приложения Azure

При настройке пользовательских поставщиков проверки подлинности может потребоваться сохранить секреты подключения в Azure Key Vault. В этой статье показано, как использовать управляемое удостоверение, чтобы предоставить Статическим веб-приложениям доступ к Key Vault для пользовательских секретов для проверки подлинности.

Примечание.

Бессерверные функции Azure не поддерживают прямую интеграцию Key Vault. Если требуется интеграция Key Vault с управляемым приложением-функцией, необходимо реализовать доступ Key Vault в код приложения.

Для секретов безопасности необходимо, чтобы были размещены перечисленные ниже элементы.

  • Создайте назначаемое системой удостоверение в статическом веб-приложении.
  • Предоставьте удостоверению доступ к секрету Key Vault.
  • Сошлитесь на секрет Key Vault из параметров приложения Статических веб-приложений.

В этой статье показано, как настроить каждый из таких элементов в рабочей среде для использования собственных функций-приложений.

Интеграция с Key Vault недоступна для:

Примечание.

Использование управляемого удостоверения доступно только в плане "Стандартный" Статические веб-приложения Azure.

Необходимые компоненты

  • Существующий сайт Статических веб-приложений Azure, использующих ваши собственные функции.
  • Существующий ресурс Key Vault со значением секрета.

Создание удостоверения

  1. Откройте статические веб-приложения в портал Azure.

  2. В разделе Параметры выберите пункт Удостоверение.

  3. Выберите вкладку Назначаемое системой.

  4. В поле "Состояние" нажмите кнопку "Вкл.".

  5. Выберите Сохранить.

    Добавление назначаемого системой удостоверения

  6. Когда появится диалоговое окно подтверждения, нажмите кнопку "Да".

    Подтвердите назначение удостоверения.

Теперь можно добавить политику доступа, чтобы разрешить статическому веб-приложению считывать секреты Key Vault.

Добавление политики доступа к Key Vault

  1. Откройте ресурс Key Vault на портале Azure.

  2. В меню Параметры выберите Политики доступа.

  3. Выберите ссылку Добавить политику доступа.

  4. В раскрывающемся списке Разрешения секретов выберите Получить.

  5. Рядом с меткой Выбор субъекта выберите ссылку Ничего не выбрано.

  6. В поле поиска найдите имя статического веб-приложения.

  7. Выберите элемент списка, соответствующий имени приложения.

  8. Выберите Выбрать.

  9. Выберите Добавить.

  10. Выберите Сохранить.

    Сохранение политики доступа к Key Vault

Теперь политика доступа сохранена в Key Vault. Затем получите доступ к URI секрета, который будет использоваться при связывании статического веб-приложения с ресурсом Key Vault.

  1. В меню Параметры выберите Секреты.

  2. Выберите нужный секрет в списке.

  3. Выберите версию секрета в списке.

  4. Выберите копию в конце текстового поля "Секретный идентификатор" , чтобы скопировать значение URI секрета в буфер обмена.

  5. Вставьте это значение в текстовый редактор для последующего использования.

Добавление параметра приложения

  1. Откройте сайт Статических веб-приложений на портале Azure.

  2. В меню Параметры выберите Конфигурация.

  3. В разделе "Параметры приложения" нажмите кнопку "Добавить".

  4. Введите имя в текстовое поле Имя.

  5. Укажите значение секрета в текстовом поле Значение.

    Значение секрета составляется из нескольких разных значений. В следующем шаблоне показано, как составляется окончательная строка.

    @Microsoft.KeyVault(SecretUri=<YOUR_KEY_VAULT_SECRET_URI>)
    

    Например, последняя строка будет выглядеть следующим образом:

    @Microsoft.KeyVault(SecretUri=https://myvault.vault.azure.net/secrets/mysecret/)
    

    Еще один вариант:

    @Microsoft.KeyVault(VaultName=myvault;SecretName=mysecret)
    

    Чтобы создать полное значение секрета, выполните приведенные ниже действия.

  6. Скопируйте приведенный выше шаблон и вставьте его в текстовый редактор.

  7. Замените <YOUR_KEY_VAULT_SECRET_URI> значением URI Key Vault, которое вы подготовили ранее.

  8. Скопируйте новое полное строковое значение.

  9. Вставьте значение в текстовое поле Значение.

  10. Нажмите ОК.

  11. Нажмите кнопку "Сохранить " в верхней части панели инструментов параметров приложения.

    Сохранение параметров приложений

Теперь, когда настраиваемая конфигурация проверки подлинности ссылается на только что созданный параметр приложения, значение извлекается из Azure Key Vault с использованием удостоверения статического веб-приложения.

Next Steps