Conexión de Azure Spring Apps a Key Vault mediante identidades administradas
Nota:
Los planes de Básico, Estándar y Enterprise quedarán en desuso a partir de mediados de marzo de 2025, con un período de retiro de 3 años. Se recomienda realizar la transición a Azure Container Apps. Para más información, consulte el anuncio de retirada de Azure Spring Apps.
El plan de consumo estándar y dedicado quedará obsoleto a partir del 30 de septiembre de 2024, con un cierre completo al cabo de seis meses. Se recomienda realizar la transición a Azure Container Apps. Para obtener más información, consulte Migrar el plan de consumo y dedicado Azure Spring Apps Standard a Azure Container Apps.
Este artículo se aplica a:✅ Java ❎ C#
En este artículo se muestra cómo crear una identidad administrada asignada por el sistema o asignada por el usuario para una aplicación implementada en Azure Spring Apps y usarla para acceder a Azure Key Vault.
Azure Key Vault se puede utilizar para almacenar de forma segura y controlar estrechamente el acceso a los tokens, contraseñas, certificados, claves de API y otros secretos de una aplicación. Puede crear una identidad administrada en Microsoft Entra ID y autenticarse en cualquier servicio que admita la autenticación de Microsoft Entra, incluido Key Vault, sin tener que mostrar credenciales en el código.
En el vídeo siguiente se describe cómo administrar secretos mediante Azure Key Vault.
Requisitos previos
- Suscripción a Azure. Si no tiene una suscripción, cree una cuenta gratuita antes de empezar.
- Si va a implementar la instancia del plan Enterprise de Azure Spring Apps por primera vez en la suscripción de destino, vea la sección Requisitos del plan Enterprise en Azure Marketplace.
- CLI de Azure: versión 2.55.0 o superior.
- Suscripción a Azure. Si no tiene una suscripción, cree una cuenta gratuita antes de empezar.
- CLI de Azure: versión 2.55.0 o superior.
Proporcione nombres para cada recurso
Cree variables para contener los nombres del recurso mediante los siguientes comandos. Asegúrese de reemplazar los marcadores de posición por sus propios valores.
export LOCATION=<location>
export RESOURCE_GROUP=myresourcegroup
export SPRING_APPS=myasa
export APP=springapp-system
export KEY_VAULT=<your-keyvault-name>
Crear un grupo de recursos
Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure. Cree un grupo de recursos que contenga Key Vault y Spring Cloud mediante el comando az group create, como se muestra en el siguiente ejemplo:
az group create --name ${RESOURCE_GROUP} --location ${LOCATION}
Configuración de un almacén de claves
Para crear una instancia de Key Vault, use el comando az keyvault create, como se muestra en el siguiente ejemplo:
Importante
Cada instancia de Key Vault debe tener un nombre único.
az keyvault create \
--resource-group ${RESOURCE_GROUP} \
--name ${KEY_VAULT}
Use el siguiente comando para mostrar la dirección URL de la aplicación y, a continuación, tome nota de la dirección URL devuelta, que tiene el formato https://${KEY_VAULT}.vault.azure.net
. Use este valor en el siguiente paso.
az keyvault show \
--resource-group ${RESOURCE_GROUP} \
--name ${KEY_VAULT} \
--query properties.vaultUri --output tsv
Ahora puede colocar un secreto en Key Vault mediante el comando az keyvault secret set, como se muestra en el siguiente ejemplo:
az keyvault secret set \
--vault-name ${KEY_VAULT} \
--name "connectionString" \
--value "jdbc:sqlserver://SERVER.database.windows.net:1433;database=DATABASE;"
Creación de una aplicación y un servicio de Azure Spring Apps
Después de instalar todas las extensiones correspondientes, use el siguiente comando para crear una instancia de Azure Spring Apps:
az extension add --upgrade --name spring
az spring create \
--resource-group ${RESOURCE_GROUP} \
--sku Enterprise \
--name ${SPRING_APPS}
El siguiente ejemplo crea la aplicación con una identidad gestionada asignada por el sistema, tal y como se solicita en el --system-assigned
parámetro:
az spring app create \
--resource-group ${RESOURCE_GROUP} \
--service ${SPRING_APPS} \
--name ${APP} \
--assign-endpoint true \
--system-assigned
export MANAGED_IDENTITY_PRINCIPAL_ID=$(az spring app show \
--resource-group ${RESOURCE_GROUP} \
--service ${SPRING_APPS} \
--name ${APP} \
--query identity.principalId --output tsv)
az extension add --upgrade --name spring
az spring create \
--resource-group ${RESOURCE_GROUP} \
--name ${SPRING_APPS}
En el ejemplo siguiente, se crea una aplicación denominada springapp
con una identidad administrada asignada por el sistema, según solicitó el parámetro --system-assigned
.
az spring app create \
--resource-group ${RESOURCE_GROUP} \
--service ${SPRING_APPS} \
--name ${APP} \
--assign-endpoint true \
--runtime-version Java_17 \
--system-assigned
export MANAGED_IDENTITY_PRINCIPAL_ID=$(az spring app show \
--resource-group ${RESOURCE_GROUP} \
--service ${SPRING_APPS} \
--name ${APP} \
--query identity.principalId --output tsv)
Concesión a la aplicación de acceso a Key Vault
Use el siguiente comando para conceder el acceso adecuado en Key Vault para la aplicación.
az keyvault set-policy \
--name ${KEY_VAULT} \
--object-id ${MANAGED_IDENTITY_PRINCIPAL_ID} \
--secret-permissions set get list
Nota:
En la identidad administrada asignada por el sistema, use az keyvault delete-policy --name ${KEY_VAULT} --object-id ${MANAGED_IDENTITY_PRINCIPAL_ID}
para quitar el acceso de la aplicación después de deshabilitar la identidad administrada asignada por el sistema.
Compilación de una aplicación de Spring Boot de ejemplo con el código de inicio de Spring Boot
Esta aplicación tiene acceso a secretos de Azure Key Vault. Use el inicio de Spring Boot con los secretos de Azure Key Vault. Azure Key Vault se agrega como una instancia de PropertySource de Spring. Se puede acceder a los secretos almacenados en Azure Key Vault y usarlos de forma apropiada como cualquier propiedad de configuración externa, por ejemplo, las propiedades de los archivos.
Use el siguiente comando para generar un proyecto de ejemplo a partir de
start.spring.io
con Spring Starter de Azure Key Vault.curl https://start.spring.io/starter.tgz -d dependencies=web,azure-keyvault -d baseDir=springapp -d bootVersion=3.2.1 -d javaVersion=17 -d type=maven-project | tar -xzvf -
Especifique el almacén de claves en la aplicación.
cd springapp vim src/main/resources/application.properties
Para usar la identidad administrada para una aplicación implementada para Azure Spring Apps, agregue propiedades con el siguiente contenido al archivo src/main/resources/application.properties.
spring.cloud.azure.keyvault.secret.property-sources[0].endpoint=<your-keyvault-url> spring.cloud.azure.keyvault.secret.property-sources[0].credential.managed-identity-enabled=true
Nota:
Debe agregar la dirección URL del almacén de claves en el archivo application.properties, como se ha mostrado anteriormente. De lo contrario, es posible que la dirección URL del almacén de claves no se capture durante la ejecución.
Actualice src/main/java/com/example/demo/DemoApplication.java con el siguiente ejemplo de código. Este código recupera la cadena de conexión de Key Vault.
package com.example.demo; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.beans.factory.annotation.Value; import org.springframework.boot.CommandLineRunner; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; @SpringBootApplication @RestController public class DemoApplication implements CommandLineRunner { @Value("${connectionString}") private String connectionString; public static void main(String[] args) { SpringApplication.run(DemoApplication.class, args); } @GetMapping("get") public String get() { return connectionString; } public void run(String... args) throws Exception { System.out.println(String.format("\nConnection String stored in Azure Key Vault:\n%s\n",connectionString)); } }
Si abre el archivo pom.xml, podrá ver la dependencia
spring-cloud-azure-starter-keyvault
, tal y como se muestra en el ejemplo siguiente:<dependency> <groupId>com.azure.spring</groupId> <artifactId>spring-cloud-azure-starter-keyvault</artifactId> </dependency>
Use el siguiente comando para implementar la aplicación en Azure Spring Apps:
az spring app deploy \ --resource-group ${RESOURCE_GROUP} \ --service ${SPRING_APPS} \ --name ${APP} \ --source-path
Use el siguiente comando para implementar la aplicación en Azure Spring Apps:
az spring app deploy \ --resource-group ${RESOURCE_GROUP} \ --service ${SPRING_APPS} \ --name ${APP} \ --source-path \ --build-env BP_JVM_VERSION=17
Para probar la aplicación, acceda al punto de conexión público o al punto de conexión de prueba mediante el siguiente comando:
curl https://${SPRING_APPS}-${APP}.azuremicroservices.io/get
El siguiente mensaje se devuelve en el cuerpo de la respuesta:
jdbc:sqlserver://SERVER.database.windows.net:1433;database=DATABASE;
.
Limpieza de recursos
Use el siguiente comando para eliminar todo el grupo de recursos, incluyendo la instancia de servicio recién creada:
az group delete --name ${RESOURCE_GROUP} --yes
Pasos siguientes
- Procedimiento para obtener acceso al blob de almacenamiento con identidad administrada en Azure Spring Apps
- Habilitación de la identidad administrada asignada por el sistema para aplicaciones en Azure Spring Apps
- ¿Qué son las identidades administradas de recursos de Azure?
- Autenticación de Azure Spring Apps con Key Vault en Acciones de GitHub