Проверка подлинности хранилища с помощью управляемых удостоверений для ресурсов Azure
Azure Key Vault использует идентификатор Microsoft Entra для проверки подлинности пользователей и приложений, которые пытаются получить доступ к хранилищу. Чтобы предоставить нашему веб-приложению доступ к хранилищу, сначала необходимо зарегистрировать приложение с помощью идентификатора Microsoft Entra. При регистрации создается удостоверение для приложения. Когда у приложения появится удостоверение, ему можно назначить разрешения хранилища.
Приложения и пользователи проходят проверку подлинности в Key Vault с помощью маркера проверки подлинности Microsoft Entra. Для получения маркера из идентификатора Microsoft Entra требуется секрет или сертификат. Любой пользователь с маркером может использовать удостоверение приложения для доступа ко всем секретам в хранилище.
Секреты приложения защищены в хранилище, но для доступа к ним по-прежнему необходимо сохранить секрет или сертификат за пределами хранилища! Эта проблема называется проблемой начальной загрузки, а Azure — решением.
Управляемые удостоверения для ресурсов Azure
Управляемые удостоверения для ресурсов Azure — это функция Azure, которую ваше приложение может использовать для доступа к Key Vault и другим службам Azure без необходимости управлять даже одним секретом вне хранилища. Использование управляемого удостоверения является простым и безопасным способом воспользоваться преимуществами Key Vault из веб-приложения.
При включении управляемого удостоверения в веб-приложении Azure активирует отдельную службу предоставления токенов REST специально для вашего приложения. Приложение запрашивает маркеры из этой службы, а не непосредственно из идентификатора Microsoft Entra. Чтобы получить доступ к этой службе, приложению нужно использовать секрет, но он внедряется в переменные среды Службой приложений при запуске. Не нужно управлять этим секретным значением или сохранять его. Ничто, кроме вашего приложения, не сможет получить доступ к этому секрету или конечной точке службы маркеров управляемого удостоверения.
Управляемые удостоверения для ресурсов Azure также регистрируют приложение в идентификаторе Microsoft Entra. Идентификатор Microsoft Entra удаляет регистрацию, если удалить веб-приложение или отключить его управляемое удостоверение.
Управляемые удостоверения доступны во всех выпусках идентификатора Microsoft Entra, включая бесплатный выпуск, включенный в подписку Azure. В Службе приложений его можно использовать бесплатно и без дополнительной настройки конфигурации. Кроме того, его можно включать и отключать в приложении в любое время.
Для включения управляемого удостоверения для веб-приложения нужно выполнить только одну простую команду Azure CLI без дополнительной настройки. Это можно сделать позже при настройке приложения Служба приложений и его развертывании в Azure. Однако перед этим примените знания об управляемых удостоверениях для написания кода для нашего приложения.