Szybki start: łączenie usług platformy Azure i przechowywanie wpisów tajnych w usłudze Azure Key Vault
Azure Key Vault to usługa w chmurze, która zapewnia bezpieczny magazyn wpisów tajnych. Możesz bezpiecznie przechowywać klucze, hasła, certyfikaty oraz inne wpisy tajne. Podczas tworzenia połączenia z usługą można bezpiecznie przechowywać klucze dostępu i wpisy tajne w połączonej usłudze Key Vault. W tym samouczku wykonasz następujące zadania przy użyciu witryny Azure Portal. Obie metody zostały wyjaśnione w poniższych procedurach.
- Tworzenie połączenia usługi z usługą Azure Key Vault w usłudze aplikacja systemu Azure
- Tworzenie połączenia usługi z usługą Azure Blob Storage i przechowywanie wpisów tajnych w usłudze Key Vault
- Wyświetlanie wpisów tajnych w usłudze Key Vault
Wymagania wstępne
Aby utworzyć połączenie usługi i przechowywać wpisy tajne w usłudze Key Vault za pomocą łącznika usługi, potrzebne są następujące elementy:
- Podstawowa wiedza na temat korzystania z łącznika usługi
- Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
- Aplikacja hostowana w usłudze App Service. Jeśli jeszcze jej nie masz, utwórz i wdróż aplikację w usłudze App Service
- Usługa Azure Key Vault. Jeśli go nie masz, utwórz usługę Azure Key Vault
- Inne docelowe wystąpienie usługi obsługiwane przez łącznik usługi. W tym samouczku użyjesz usługi Azure Blob Storage
- Dostęp do odczytu i zapisu w usłudze App Service, Key Vault i usłudze docelowej.
Tworzenie połączenia usługi Key Vault w usłudze App Service
Aby przechowywać klucze dostępu do połączenia i wpisy tajne w magazynie kluczy, zacznij od połączenia usługi App Service z magazynem kluczy.
W witrynie Azure Portal wpisz App Service w menu wyszukiwania i wybierz nazwę usługi App Service, której chcesz użyć z listy.
Wybierz pozycję Łącznik usługi z lewego spisu treści. Następnie wybierz Utwórz.
Wybierz lub wprowadź następujące ustawienia.
Ustawienie Sugerowana wartość opis Typ usługi Key Vault Typ usługi docelowej. Jeśli nie masz usługi Key Vault, utwórz je. Subskrypcja Jedna z Twoich subskrypcji. Subskrypcja, w której wdrożono usługę docelową. Usługa docelowa to usługa, z którą chcesz nawiązać połączenie. Wartość domyślna to subskrypcja wymieniona dla usługi App Service. Nazwa połączenia Wygenerowana unikatowa nazwa Nazwa połączenia, która identyfikuje połączenie między usługą App Service i usługą docelową Nazwa magazynu kluczy Nazwa usługi Key Vault Docelowa usługa Key Vault, z którą chcesz nawiązać połączenie. Typ klienta Ten sam stos aplikacji w tej usłudze App Service Stos aplikacji, który współpracuje z wybraną usługą docelową. Wartość domyślna pochodzi ze stosu środowiska uruchomieniowego usługi App Service. Wybierz pozycję Dalej: Uwierzytelnianie , aby wybrać typ uwierzytelniania. Następnie wybierz pozycję Tożsamość zarządzana przypisana przez system, aby połączyć usługę Key Vault.
Wybierz pozycję Dalej: Sieć , aby wybrać konfigurację sieci. Następnie wybierz pozycję Włącz ustawienia zapory, aby zaktualizować listę dozwolonych zapory w usłudze Key Vault, aby usługa App Service mogła uzyskać dostęp do usługi Key Vault.
Następnie wybierz pozycję Dalej: Przejrzyj i utwórz , aby przejrzeć podane informacje. Wybierz pozycję Utwórz , aby utworzyć połączenie usługi. Ukończenie operacji może potrwać minutę.
Tworzenie połączenia usługi Blob Storage w usłudze App Service i przechowywanie kluczy dostępu do usługi Key Vault
Teraz możesz utworzyć połączenie usługi z inną usługą docelową i bezpośrednio przechowywać klucze dostępu do połączonej usługi Key Vault podczas korzystania z klucza parametry połączenia/dostępu lub jednostki usługi do uwierzytelniania. Użyjemy usługi Blob Storage jako przykładu poniżej. Postępuj zgodnie z tym samym procesem dla innych usług docelowych.
W witrynie Azure Portal wpisz App Service w menu wyszukiwania i wybierz nazwę usługi App Service, której chcesz użyć z listy.
Wybierz pozycję Łącznik usługi z lewego spisu treści. Następnie wybierz Utwórz.
Wybierz lub wprowadź następujące ustawienia.
Ustawienie Sugerowana wartość opis Typ usługi Blob Storage Typ usługi docelowej. Jeśli nie masz kontenera obiektów blob usługi Storage, możesz utworzyć jeden lub użyć innego typu usługi. Subskrypcja Jedna z Twoich subskrypcji Subskrypcja, w której wdrożono usługę docelową. Usługa docelowa to usługa, z którą chcesz nawiązać połączenie. Wartość domyślna to subskrypcja wymieniona dla usługi App Service. Nazwa połączenia Wygenerowana unikatowa nazwa Nazwa połączenia, która identyfikuje połączenie między usługą App Service i usługą docelową. Konto magazynu Konto magazynu Docelowe konto magazynu, z którym chcesz nawiązać połączenie. Jeśli wybierzesz inny typ usługi, wybierz odpowiednie wystąpienie usługi docelowej. Typ klienta Ten sam stos aplikacji w tej usłudze App Service Stos aplikacji, który współpracuje z wybraną usługą docelową. Wartość domyślna pochodzi ze stosu środowiska uruchomieniowego usługi App Service. Konfigurowanie uwierzytelniania
Ważne
Firma Microsoft zaleca korzystanie z najbezpieczniejszego dostępnego przepływu uwierzytelniania. Przepływ uwierzytelniania opisany w tej procedurze wymaga bardzo wysokiego poziomu zaufania w aplikacji i niesie ze sobą ryzyko, które nie występują w innych przepływach. Tego przepływu należy używać tylko wtedy, gdy inne bezpieczniejsze przepływy, takie jak tożsamości zarządzane, nie są opłacalne.
Wybierz pozycję Dalej: Uwierzytelnianie , aby wybrać typ uwierzytelniania, a następnie wybierz pozycję Parametry połączenia, aby użyć klucza dostępu do połączenia konta magazynu.
Ustawienie Sugerowana wartość opis Przechowywanie wpisu tajnego w usłudze Key Vault Zaznacz Ta opcja umożliwia łącznikowi usługi przechowywanie klucza parametry połączenia/dostępu do usługi Key Vault. Połączenie usługi Key Vault Jedno z połączeń usługi Key Vault Wybierz usługę Key Vault, w której chcesz przechowywać klucz parametry połączenia/dostęp. Wybierz pozycję Dalej: Sieć i Włącz ustawienia zapory, aby zaktualizować listę dozwolonych zapory w usłudze Key Vault, aby usługa App Service mogła uzyskać dostęp do usługi Key Vault.
Następnie wybierz pozycję Dalej: Przejrzyj i utwórz , aby przejrzeć podane informacje.
Wybierz pozycję Utwórz , aby utworzyć połączenie usługi. Ukończenie operacji może potrwać do jednej minuty.
Wyświetlanie konfiguracji w usłudze Key Vault
Rozwiń połączenie usługi Blob Storage, wybierz pozycję Ukryta wartość. Kliknij, aby wyświetlić wartość. Widać, że wartość jest odwołaniem do usługi Key Vault.
Wybierz usługę Key Vault w kolumnie Typ usługi połączenia usługi Key Vault. Nastąpi przekierowanie do strony portalu usługi Key Vault.
Wybierz pozycję Wpisy tajne w lewym spisie treści usługi Key Vault i wybierz nazwę wpisu tajnego magazynu obiektów blob.
Napiwek
Nie masz uprawnień do wyświetlania listy wpisów tajnych? Zapoznaj się z tematem Rozwiązywanie problemów z usługą Azure Key Vault.
Wybierz identyfikator wersji z listy Bieżąca wersja.
Wybierz pozycję Pokaż wartość wpisu tajnego, aby uzyskać parametry połączenia tego połączenia magazynu obiektów blob.
Czyszczenie zasobów
Gdy grupa zasobów i wszystkie powiązane zasoby utworzone na potrzeby tego samouczka nie będą już potrzebne, usuń grupę zasobów. W tym celu wybierz grupę zasobów lub poszczególne utworzone zasoby, a następnie wybierz pozycję Usuń.