Schnellstart: Verbinden von Azure-Diensten und Speichern Geheimnissen in Azure Key Vault
Azure Key Vault ist ein Clouddienst, der als sicherer Geheimnisspeicher fungiert. Dadurch können Schlüssel, Kennwörter, Zertifikate und andere Geheimnisse sicher gespeichert werden. Wenn Sie eine Dienstverbindung erstellen, können Sie Zugriffsschlüssel und Geheimnisse sicher in der verbundenen Key Vault-Instanz speichern. In diesem Tutorial führen Sie die folgenden Aufgaben über das Azure-Portal aus. Beide Methoden werden in den folgenden Verfahren näher beschrieben.
- Erstellen einer Dienstverbindung mit Azure Key Vault in Azure App Service
- Erstellen einer Dienstverbindung mit Azure Blob Storage und Speichern von Geheimnissen in Key Vault
- Anzeigen von Geheimnissen in Key Vault
Voraussetzungen
Um eine Dienstverbindung erstellen und Geheimnisse in Key Vault mit Service Connector speichern zu können, benötigen Sie Folgendes:
- Grundkenntnisse zur Verwendung von Service Connector
- Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
- Eine in App Service gehostete App. Falls Sie noch nicht über eine App verfügen, können Sie eine App erstellen und in App Service bereitstellen.
- Ein Azure Key Vault. Falls Sie über keine Azure Key Vault-Instanz verfügen, erstellen Sie eine.
- Eine weitere Zieldienstinstanz, die von Service Connector unterstützt wird. In diesem Tutorial verwenden Sie Azure Blob Storage.
- Lese- und Schreibzugriff auf App Service, Key Vault und den Zieldienst.
Erstellen einer Key Vault-Verbindung in App Service
Wenn Sie Ihre Verbindungszugriffsschlüssel und Geheimnisse in einem Schlüsseltresor speichern möchten, müssen Sie zunächst eine Verbindung zwischen App Service und einem Schlüsseltresor herstellen.
Geben Sie im Azure-Portal im Suchmenü App Service ein, und wählen Sie den App Service-Namen in der Liste aus.
Wählen Sie im linken Inhaltsverzeichnis Dienstconnector aus. Klicken Sie anschließend auf Erstellen.
Wählen Sie die folgenden Einstellungen aus, oder geben Sie sie ein.
Einstellung Vorgeschlagener Wert BESCHREIBUNG Diensttyp Key Vault Zieldiensttyp. Wenn Sie nicht über einen Schlüsseltresor verfügen, erstellen Sie einen. Abonnement Eines Ihrer Abonnements. Das Abonnement, in dem Ihr Zieldienst bereitgestellt ist. Der Zieldienst ist der Dienst, mit dem Sie eine Verbindung herstellen möchten. Der Standardwert ist das für App Service hinterlegte Abonnement. Verbindungsname Generierter eindeutiger Name Der Verbindungsname, der die Verbindung zwischen Ihrem App Service und dem Zieldienst identifiziert. Name des Schlüsseltresors Der Name Ihres Schlüsseltresors Die Key Vault-Zielinstanz, mit der Sie eine Verbindung herstellen möchten. Clienttyp Der gleiche App-Stapel wie für diesen App Service Ihr Anwendungsstapel, der mit dem ausgewählten Zieldienst zusammenarbeitet. Der Standardwert stammt aus dem App Service-Laufzeitstapel. Wählen Sie Weiter: Authentifizierung aus, um den Authentifizierungstyp auszuwählen. Wählen Sie anschließend Vom System zugewiesene verwaltete Identität aus, um die Verbindung mit Ihrer Key Vault-Instanz herzustellen.
Wählen Sie Weiter: Netzwerk aus, um die Netzwerkkonfiguration auszuwählen. Wählen Sie anschließend Firewalleinstellungen aktivieren aus, um die Firewall-Positivliste in Key Vault zu aktualisieren, damit die Key Vault-Instanz für Ihre App Service-Instanz erreichbar ist.
Wählen Sie dann Weiter: Überprüfen und erstellen aus, um die bereitgestellten Informationen zu überprüfen. Wählen Sie Erstellen aus, um die Dienstverbindung zu erstellen. Es kann eine Minute dauern, bis der Vorgang abgeschlossen ist.
Erstellen einer Blob Storage-Verbindung in App Service und Speichern von Zugriffsschlüsseln in Key Vault
Nun können Sie eine Dienstverbindung mit einem anderen Zieldienst erstellen und Zugriffsschlüssel direkt in einer verbundenen Key Vault-Instanz speichern, wenn Sie eine Verbindungszeichenfolge bzw. einen Zugriffsschlüssel oder einen Dienstprinzipal für die Authentifizierung verwenden. Hier wird Blob Storage als Beispiel verwendet. Der gleiche Prozess kann jedoch auch für andere Zieldienste verwendet werden.
Geben Sie im Azure-Portal im Suchmenü App Service ein, und wählen Sie den App Service-Namen in der Liste aus.
Wählen Sie im linken Inhaltsverzeichnis Dienstconnector aus. Klicken Sie anschließend auf Erstellen.
Wählen Sie die folgenden Einstellungen aus, oder geben Sie sie ein.
Einstellung Vorgeschlagener Wert BESCHREIBUNG Diensttyp Blob Storage Zieldiensttyp. Wenn Sie über keinen Storage-Blobcontainer verfügen, können Sie einen Container erstellen oder einen anderen Diensttyp verwenden. Abonnement Eines Ihrer Abonnements Das Abonnement, in dem Ihr Zieldienst bereitgestellt ist. Der Zieldienst ist der Dienst, mit dem Sie eine Verbindung herstellen möchten. Der Standardwert ist das für App Service hinterlegte Abonnement. Verbindungsname Generierter eindeutiger Name Der Verbindungsname, der die Verbindung zwischen App Service und Zieldienst identifiziert. Speicherkonto Ihr Speicherkonto Das Zielspeicherkonto, mit dem Sie eine Verbindung herstellen möchten. Wenn Sie einen anderen Diensttyp auswählen, müssen Sie die entsprechende Zieldienstinstanz auswählen. Clienttyp Der gleiche App-Stapel wie für diesen App Service Ihr Anwendungsstapel, der mit dem ausgewählten Zieldienst zusammenarbeitet. Der Standardwert stammt aus dem App Service-Laufzeitstapel. Einrichten der Authentifizierung
Wichtig
Microsoft empfiehlt, immer den sichersten Authentifizierungsflow zu verwenden. Der in diesem Verfahren beschriebene Authentifizierungsflow erfordert ein sehr hohes Maß an Vertrauen in die Anwendung und birgt Risiken, die bei anderen Flows nicht vorhanden sind. Sie sollten diesen Flow nur verwenden, wenn andere sicherere Flows (z. B. verwaltete Identitäten) nicht anwendbar sind.
Wählen Sie Weiter: Authentifizierung aus, um den Authentifizierungstyp auszuwählen, und wählen Sie anschließend Verbindungszeichenfolge aus, um einen Zugriffsschlüssel zum Verbinden Ihres Speicherkontos zu verwenden.
Einstellung Vorgeschlagener Wert BESCHREIBUNG Geheimnis in Key Vault speichern Prüfen Diese Option ermöglicht es Service Connector, die Verbindungszeichenfolge bzw. den Zugriffsschlüssel in Ihrer Key Vault-Instanz zu speichern. Key Vault-Verbindung Eine Ihrer Key Vault-Verbindungen Wählen Sie die Key Vault-Instanz aus, in der Ihre Verbindungszeichenfolge bzw. Ihr Zugriffsschlüssel gespeichert werden soll. Wählen Sie anschließend Weiter: Netzwerk und Firewalleinstellungen aktivieren aus, um die Firewall-Positivliste in Key Vault zu aktualisieren, damit der Schlüsseltresor für Ihre App Service-Instanz erreichbar ist.
Wählen Sie dann Weiter: Überprüfen und erstellen aus, um die bereitgestellten Informationen zu überprüfen.
Wählen Sie Erstellen aus, um die Dienstverbindung zu erstellen. Es kann bis zu eine Minute dauern, bis der Vorgang abgeschlossen ist.
Anzeigen Ihrer Konfiguration in Key Vault
Erweitern Sie die Blob Storage-Verbindung, und wählen Sie Ausgeblendeter Wert. Klicken Sie, um den Wert anzuzeigen. aus. Wie Sie sehen, handelt es sich bei dem Wert um einen Key Vault-Verweis.
Wählen Sie in der Diensttypspalte Ihrer Key Vault-Verbindung die Option Key Vault aus. Sie werden zur Key Vault-Portalseite umgeleitet.
Wählen Sie im linken Key Vault-Inhaltsverzeichnis die Option Geheimnisse und anschließend den Namen des Blob Storage-Geheimnisses aus.
Tipp
Sind Sie nicht zum Auflisten von Geheimnissen berechtigt? Weitere Informationen finden Sie unter Problembehandlung bei Azure Key Vault.
Wählen Sie in der Liste „Aktuelle Version“ eine Versions-ID aus.
Wählen Sie Geheimen Wert anzeigen aus, um die Verbindungszeichenfolge dieser Blob Storage-Verbindung abzurufen.
Bereinigen von Ressourcen
Löschen Sie die Ressourcengruppe und alle zugehörigen, für dieses Tutorial erstellten Ressourcen, wenn Sie sie nicht mehr benötigen. Wählen Sie hierzu eine Ressourcengruppe oder die einzelnen von Ihnen erstellten Ressourcen und anschließend Löschen aus.