Riepilogo

Completato

In questo modulo è stata attivata la protezione della configurazione dei segreti di un'app in Azure Key Vault. Il codice dell'app ha eseguito l'autenticazione nell'insieme di credenziali con un'identità gestita e ha caricato automaticamente all'avvio i segreti dall'insieme di credenziali nella memoria.

Eseguire la pulizia

La sandbox esegue automaticamente la pulizia delle risorse al termine di questo modulo.

Quando si lavora nella propria sottoscrizione, al termine di un progetto è buona norma determinare se le risorse create sono ancora necessarie. Le risorse che rimangono in esecuzione hanno un costo. È possibile eliminare risorse singole oppure gruppi di risorse per eliminare l'intero set di risorse.

Per pulire l'archiviazione di Cloud Shell, eliminare la directory KeyVaultDemoApp .

Passaggi successivi

Se questa app fosse un'app reale, cosa succederebbe?

• Verrebbero inseriti tutti i segreti delle app negli insiemi di credenziali! Non è più necessario tenerli nei file di configurazione.
• Continuare a sviluppare l'app. L'ambiente di produzione è completamente configurato, quindi non è necessario ripetere tutta la configurazione per le distribuzioni future.
• Per supportare lo sviluppo, creare un ambiente di sviluppo che contenga segreti con lo stesso nome, ma con valori diversi. Concedere le autorizzazioni per il team di sviluppo e configurare il nome dell'insieme di credenziali nel file di configurazione dell'ambiente di sviluppo dell'app. La configurazione dipende dall'implementazione: per ASP.NET Core rileva AddAzureKeyVault automaticamente le installazioni locali di Visual Studio e dell'interfaccia della riga di comando di Azure e usa le credenziali di Azure configurate in tali app per accedere e accedere all'insieme di credenziali. Per Node.js, è possibile creare un'entità servizio dell'ambiente di sviluppo con le autorizzazioni per l'insieme di credenziali e fare in modo che l'app esegua l'autenticazione usando loginWithServicePrincipalSecret.
• Creare altri ambienti per scopi quali i test di accettazione utente.
• Separare gli insiemi di credenziali tra sottoscrizioni e gruppi di risorse diversi per isolarli.
• Concedere l'accesso ad altri insiemi di credenziali dell'ambiente alle persone appropriate.

Altre risorse

• Documentazione su Key Vault
• Informazioni su AddAzureKeyVault e le relative opzioni avanzate
• Questa esercitazione descrive come usare Key Vault SecretClient, incluso come eseguirne l'autenticazione manuale in Microsoft Entra ID usando un segreto client invece di un'identità gestita.
• Documentazione del servizio token delle identità gestite per le risorse di Azure per implementare personalmente il flusso di lavoro dell'autenticazione.

Verificare le conoscenze

1.

Quale dei seguenti non è un vantaggio di Azure Key Vault?

Archiviazione protetta delle informazioni personali dell'utente.

Sincronizzazione dei segreti dell'applicazione tra più istanze di un'applicazione.

Minore necessità da parte degli sviluppatori di applicazioni di gestire direttamente i segreti dell'applicazione.

Controllo dell'accesso ai segreti dell'applicazione con autorizzazioni assegnabili.

2.

Quali di queste affermazioni descrive al meglio il processo di autenticazione e autorizzazione di Azure Key Vault?

Le applicazioni eseguono l'autenticazione a un insieme di credenziali con il nome utente e la password dello sviluppatore responsabile e hanno accesso completo a tutti i segreti nell'insieme.

Le applicazioni e gli utenti eseguono l'autenticazione a un insieme di credenziali con un account Microsoft e sono autorizzati ad accedere a segreti specifici.

Le applicazioni e gli utenti eseguono l'autenticazione a un insieme di credenziali con le proprie identità di Microsoft Entra e sono autorizzati a eseguire azioni su tutti i segreti nell'insieme.

Le applicazioni eseguono l'autenticazione a un insieme di credenziali con il nome utente e la password di un utente che esegue l'accesso all'app Web e a cui viene concesso l'accesso ai segreti di proprietà di tale utente.

3.

In che modo Azure Key Vault consente di proteggere i segreti dopo che sono stati caricati dall'app?

Azure Key Vault genera automaticamente un nuovo segreto dopo ogni uso.

La libreria client di Azure Key Vault protegge le aree di memoria usate dall'applicazione per evitare l'esposizione accidentale dei segreti.

Azure Key Vault applica una doppia crittografia ai segreti, la quale richiede la decrittografia dei file in locale da parte dell'app ogni volta che vengono usati.

Non protegge i segreti. I segreti non sono protetti quando vengono caricati dall'applicazione.

Devi rispondere a tutte le domande prima di controllare il lavoro svolto.