Zusammenfassung

Abgeschlossen

In diesem Modul haben Sie die Konfiguration des Geheimnisses einer App in Azure Key Vault gesichert. Ihr App-Code hat sich mit einer verwalteten Identität beim Tresor authentifiziert und beim Start automatisch die Geheimnisse aus dem Tresor in den Arbeitsspeicher geladen.

Bereinigung

Die Sandbox bereinigt Ihre Ressourcen automatisch, wenn Sie dieses Modul abgeschlossen haben.

Wenn Sie in Ihrem eigenen Abonnement arbeiten, sollten Sie am Ende eines Projekts prüfen, ob Sie die Ressourcen, die Sie erstellt haben, noch benötigen. Ressourcen, die Sie weiterhin ausführen, können Sie Geld kosten. Sie können entweder einzelne Ressourcen oder aber die Ressourcengruppe löschen, um den gesamten Ressourcensatz zu entfernen.

Löschen Sie zum Bereinigen Ihres Cloud Shell-Speichers das Verzeichnis KeyVaultDemoApp.

Nächste Schritte

Wenn diese App eine echte App wäre, wie würde es weitergehen?

• Speichern Sie all Ihre App-Geheimnisse in Ihren Tresoren! Es gibt keinen Grund mehr, sie in Konfigurationsdateien zu speichern.
• Fahren Sie mit der Entwicklung der App fort. Ihre Produktionsumgebung ist vollständig eingerichtet, Sie müssen die Einrichtung also für zukünftige Bereitstellungen nicht erneut durchführen.
• Um die Entwicklung zu unterstützen, erstellen Sie einen Tresor für die Entwicklungsumgebung, der Geheimnisse mit den gleichen Namen, aber unterschiedlichen Werten enthält. Gewähren Sie dem Entwicklungsteam Berechtigungen, und konfigurieren Sie den Namen des Tresors in der Konfigurationsdatei für die Entwicklungsumgebung der App. Die Konfiguration hängt von Ihrer Implementierung ab: Bei ASP.NET Core erkennt AddAzureKeyVault lokale Installationen von Visual Studio und der Azure CLI automatisch und verwendet die in diesen Apps konfigurierten Azure-Anmeldeinformationen, um sich beim Tresor anzumelden und auf diesen zuzugreifen. Bei Node.js können Sie einen Dienstprinzipal für eine Entwicklungsumgebung mit Berechtigungen für den Tresor erstellen und die App mit loginWithServicePrincipalSecret authentifizieren lassen.
• Erstellen Sie weitere Umgebungen für andere Zwecke wie etwa für Benutzerakzeptanztests.
• Trennen Sie Tresore verschiedener Abonnements und Ressourcengruppen, um sie voneinander zu isolieren.
• Gewähren Sie den richtigen Personen Zugriff auf andere Umgebungstresore.

Weitere nützliche Informationen

• Dokumentation zu Key Vault
• Weitere Informationen zum AddAzureKeyVault und den erweiterten Optionen
• Dieses Tutorial führt durch die Verwendung der Key Vault-Instanz SecretClient und erläutert die manuelle Authentifizierung bei Microsoft Entra ID mithilfe eines Clientgeheimnisses anstelle einer verwalteten Identität.
• In der Dokumentation zu verwalteten Identitäten für den Tokendienst für Azure-Ressourcen finden Sie weitere Informationen zur Implementierung des Authentifizierungsworkflows.

Wissen auf den Prüfstand stellen

1.

Welche der folgenden Aussagen beschreibt keinen Vorteil von Azure Key Vault?

Sichere Speicherung privater Benutzerinformationen.

Synchronisierung von Anwendungsgeheimnissen zwischen mehreren Instanzen einer Anwendung.

Reduzierung der Notwendigkeit für Anwendungsentwickler, direkt mit Anwendungsgeheimnissen zu arbeiten.

Steuerung des Zugriffs auf Anwendungsgeheimnisse mit zuweisbaren Zugriffsberechtigungen.

2.

Welche dieser Aussagen beschreibt am besten den Authentifizierungs- und Autorisierungsprozess von Azure Key Vault?

Anwendungen authentifizieren sich bei einem Tresor mit dem Benutzernamen und Kennwort des Chefentwicklers und haben uneingeschränkten Zugriff auf alle Geheimnisse im Tresor.

Anwendungen und Benutzer authentifizieren sich mit einem Microsoft-Konto bei einem Tresor und sind berechtigt, auf bestimmte Geheimnisse zuzugreifen.

Anwendungen und Benutzer authentifizieren sich mit ihren Microsoft Entra-Identitäten bei einem Tresor und sind berechtigt, Aktionen für alle Geheimnisse im Tresor auszuführen.

Anwendungen authentifizieren sich bei einem Tresor mit dem Benutzernamen und Kennwort eines Benutzers, der sich bei der Web-App anmeldet, und erhalten Zugriff auf Geheimnisse, deren Besitzer der Benutzer ist.

3.

Wie trägt Azure Key Vault zum Schutz Ihrer Geheimnisse bei, nachdem sie von Ihrer App hochgeladen wurden?

Azure Key Vault generiert nach jeder Verwendung automatisch ein neues Geheimnis.

Die Azure Key Vault-Clientbibliothek schützt die von Ihrer Anwendung verwendeten Arbeitsspeicherbereiche, um eine ungewollte Offenlegung von Geheimnissen zu verhindern.

Azure Key Vault verschlüsselt Geheimnisse doppelt, sodass Ihre Anwendung sie bei jeder Verwendung lokal entschlüsseln muss.

Ihre Geheimnisse werden nicht geschützt. Geheimnisse sind ungeschützt, sobald sie von Ihrer Anwendung geladen werden.

Sie müssen alle Fragen beantworten, bevor Sie Ihre Arbeit überprüfen können.