Udostępnij za pośrednictwem

Uźywanie zmiennych środowiskowych dla wpisów tajnych Azure Key Vault

  • Artykuł

Zmienne środowiskowe umożliwiają odwoływanie się do wpisów tajnych przechowywanych w magazynie Azure Key Vault. Te wpisy tajne są następnie dostępne do użytku z przepływami usługi Power Automate i łącznikami niestandardowymi. Należy zauważyć, że wpisy tajne nie są dostępne do użycia w innych dostosowaniach ani ogólnie za pośrednictwem interfejsu API.

Rzeczywiste klucze tajne są przechowywane w Azure Key Vault, a zmienna środowiskowa odwołuje się do lokalizacji klucza tajnego magazynu kluczy. Używanie wpisów tajnych magazynu Azure Key Vault ze zmiennymi środowiskowymi wymaga skonfigurowania magazynu Azure Key Vault tak, aby usługa Power Platform mogła odczytywać konkretne wpisy tajne, do których chcesz się odwołać.

Zmienne środowiskowe odwołujące się do tajnych danych nie są obecnie dostępne w selektorze zawartości dynamicznej do użycia w przepływach.

Konfigurowanie usługi Azure Key Vault

Aby można było używać wpisów tajnych magazynu Azure Key Vault z usługą Power Platform, subskrypcja Azure z magazynem musi mieć zarejestrowanego dostawcę zasobów usługi PowerPlatform i użytkownik tworzący zmienną środowiskową musi mieć odpowiednie uprawnienia do zasobu magazynu Azure Key Vault.

Uwaga

  • Niedawno zmieniliśmy rolę bezpieczeństwa, której używamy do asercji uprawnień dostępu w ramach Azure Key Vault. Poprzednie instrukcje obejmowały przypisanie roli osoba mogąca uzyskiwać dostęp do Key Vault. Jeśli wcześniej skonfigurowałeś swój Key Vault z rolą osoby mogącej uzyskiwać dostęp do Key Vault, upewnij się, że dodałeś rolę Klucze tajne Key Vault Secrets – Użytkownik, aby zapewnić, że Twoi użytkownicy i Dataverse będą mieli wystarczające uprawnienia do pobierania kluczy tajnych.
  • Uznajemy, że nasza usługa używa interfejsów API kontroli dostępu opartych na rolach Azure do oceny przypisania roli bezpieczeństwa, nawet jeśli nadal masz swój magazyn kluczy skonfigurowany do korzystania z modelu uprawnień polityki dostępu do niego. Aby uprościć konfigurację, zaleciliśmy przełączenie modelu uprawnień skarbca na kontrolę dostępu opartą na rolach Azure. Można to zrobić w zakładce Konfiguracja dostępu.

  1. Zarejestruj dostawcę zasobów Microsoft.PowerPlatform w swojej subskrypcji Azure. Wykonaj poniższe kroki, aby zweryfikować i skonfigurować: Dostawców zasobów i typy zasobów

    Rejestrowanie dostawcy Power Platform na platformie Azure

  2. Utwórz magazyn Azure Key Vault. Warto rozważyć zastosowanie oddzielnego magazynu dla każdego środowiska usługi Power Platform w celu zminimalizowania zagrożeń w przypadku naruszeń bezpieczeństwa. Rozważ skonfigurowanie skarbca kluczy w celu użycia Kontroli dostępu opartej na rolach Azure dla Modelu uprawnień. Więcej informacji: Najlepsze praktyki dla Azure Key Vault, Szybki start — tworzenie magazynu Azure Key Vault przy użyciu portalu Azure Portal

  3. Użytkownicy, którzy tworzą lub używają zmiennych środowiskowych typu Wpis tajny, muszą mieć uprawnienia do pobierania tego typu treści. Aby przyznać nowemu użytkownikowi możliwość korzystania z sekretu, należy wybrać obszar Kontrola dostępu (IAM), wybrać Dodaj, a następnie z rozwijanej listy wybrać Dodaj przypisanie roli. Więcej informacji: Zapewnij dostęp do kluczy, certyfikatów i kluczy tajnych Key Vault za pomocą kontroli dostępu opartej na rolach Azure

    Wyświetl mój dostęp w platformie Azure

  4. W kreatorze Dodaj przypisanie roli pozostaw domyślny typ przypisania jako Role funkcyjne i przejdź do karty Role. Zlokalizuj rolę Użytkownik wpisów tajnych w magazynie kluczy i wybierz ją. Przejdź do zakładki Członkowie i wybierz link Wybierz członków i zlokalizuj użytkownika w panelu bocznym. Po wybraniu użytkownika i pokazaniu go w sekcji członków, przejdź do zakładki Przegląd i przydzielanie i zakończ pracę kreatora.

  5. Azure Key Vault musi mieć przyznaną rolę Klucze tajne Key Vault Secrets – Użytkownik dla usługi głównej Dataverse. Jeśli nie istnieje dla tego skarbca, dodaj nową politykę dostępu używając tej samej metody, której użyłeś wcześniej dla uprawnienia użytkownika końcowego, tylko używając tożsamości aplikacji Dataverse zamiast użytkownika. Jeśli w dzierżawie znajduje się wiele podmiotów usługi Dataverse, zalecamy wybranie ich wszystkich i zapisanie przypisania roli. Po przypisaniu roli przejrzyj każdą pozycję Dataverse wymienioną na liście przypisań roli i wybierz nazwę Dataverse, aby zobaczyć szczegóły. Jeśli Identyfikator aplikacji nie jest 00000007-0000-0000-c000-000000000000 to zaznacz tożsamość, a następnie wybierz Usuń, aby usunąć ją z listy.

  6. Jeśli masz włączoną zaporę Azure Key Vault musisz pozwolić adresom IP Power Platform na dostęp do magazynu kluczy. Power Platform nie jest uwzględniona w opcji „Tylko zaufane usługi”. Dlatego też zapoznaj się z artykułem Adresami URL Power Platform i zakresami adresów IP, gdzie znajdziesz aktualne adresy IP wykorzystywane w serwisie.

  7. Jeśli nie zostało to jeszcze zrobione, dodaj do nowego magazynu wpis tajny. Więcej informacji: Szybki start z platformą Azure — Ustaw i pobierz wpis tajny z magazynu Azure Key Vault przy użyciu portalu Azure Portal

Tworzenie nowej zmiennej środowiskowej dla wpisu tajnego magazynu Key Vault

Po skonfigurowaniu magazynu Azure Key Vault i zarejestrowaniu wpisu tajnego w magazynie można odwoływać się go niego w aplikacji Power Apps za pomocą zmiennej środowiskowej.

Uwaga

  • Sprawdzanie poprawności dostępu użytkownika dla wpisu tajnego jest wykonywane w tle. Jeśli użytkownik nie ma uprawnień przynajmniej do odczytu, zostanie wyświetlony następujący błąd sprawdzania poprawności: „Ta zmienna nie została poprawnie zapisana. Użytkownik nie ma uprawnień do odczytu wpisów tajnych ze „ścieżki Azure Key Vault”.”
  • Obecnie usługa Azure Key Vault jest jedynym magazynem wpisów tajnych, który jest obsługiwany w zmiennych środowiskowych.
  • Azure Key Vault musi być w tej samej dzierżawie, co subskrypcja Power Platform.

  1. Zaloguj się do rozwiązania Power Apps, a następnie w obszarze Rozwiązania otwórz rozwiązanie niezarządzane, które jest używane do projektowania.

  2. Wybierz kolejno pozycje Nowy > Więcej > Zmienna środowiskowa.

  3. Wypełnij pole Nazwa wyświetlana i opcjonalnie pole Opis dla zmiennej środowiskowej.

  4. Jako Typ danych jak Wpis tajny i Magazyn wpisów tajnych jako Azure Key Vault.

  5. Wybierz jedną z następujących opcji:

    • Wybierz Nowe odwołanie do wartości usługi Azure Key Vault. Po dodaniu informacji w następnym kroku i zapisaniu jest tworzony rekord wartości zmiennej środowiskowej.
    • Rozwiń pole Pokaż wartość domyślną, aby wyświetlić pola w celu utworzenia Domyślnego wpisu tajnego magazynu Azure Key Vault. Po dodaniu informacji w następnym kroku i zapisaniu jest dodana linia demarkacyjna domyślnej wartości do rekordu zmiennej środowiskowej definicja.

  6. Wprowadź następujące informacje:

    • Identyfikator subskrypcji Azure: identyfikator subskrypcji Azure skojarzony z magazynem kluczy.

    • Nazwa grupy zasobów: grupa zasobów Azure, w której znajduje się magazyn kluczy zawierający wpis tajny.

    • Nazwa magazynu Azure Key Vault: nazwa magazynu kluczy, w którym jest przechowywany wpis tajny.

    • Nazwa wpisu tajnego: nazwa wpisu tajnego znajdującego się w magazynie Azure Key Vault.

      Porada

      Identyfikator subskrypcji, nazwa grupy zasobów i nazwa magazynu kluczy można znaleźć na stronie Omówienie portalu Azure w magazynie kluczy. Nazwę wpisu tajnego można znaleźć na stronie magazynu kluczy w portalu Azure, wybierając pozycję Wpisy tajne w obszarze Ustawienia.

  7. Wybierz pozycję Zapisz.

Tworzenie przepływu Power Automate w celu testowania wpisu tajnego zmiennej środowiskowej

Prosty scenariusz do zademonstrowania użycia wpisu tajnego uzyskanego z magazynu Azure Key Vault to utworzenie przepływu Power Automate, który będzie używać wpisu tajnego w celu uwierzytelnienia w usłudze sieci Web.

Uwaga

Identyfikator URI usługi w sieci Web w tym przykładzie nie jest aktywną usługą sieci Web.

  1. Zaloguj się do PowerApps, wybierz Rozwiązania, a następnie otwórz żądane rozwiązanie niezarządzane. Jeśli elementu nie ma w okienku panelu bocznego, wybierz …Więcej, a następnie wybierz żądany element.

  2. Wybierz Nowe > Automatyzacja > Przepływ w chmurze > Błyskawiczne.

  3. Wprowadź nazwę przepływu, wybierz Ręcznie wyzwól przepływ, a następnie wybierz opcję Utwórz.

  4. Wybierz opcję Nowy krok, wybierz łącznik Microsoft Dataverse, a następnie na karcie Akcje wybierz opcję Wykonaj akcję anulowania powiązania.

  5. Wybierz z listy rozwijanej akcję nazwaną RetrieveEnvironmentVariableSecretValue.

  6. Podaj unikatową nazwę zmiennej środowiskowej (nie nazwę wyświetlaną) dodaną w poprzedniej sekcji; ten przykład używa new_TestSecret.

  7. Wybierz opcję ... > Zmień nazwę, aby zmienić nazwę akcji, tak aby była łatwiejsza do odwołania w następnej akcji. Na poniższym zrzucie ekranu zmieniono jej nazwę na GetSecret.

    Konfiguracja przepływu błyskawicznego w celu testowania zmiennej środowiskowej

  8. Wybierz ... > Ustawienia, w których mają być wyświetlane ustawienia akcji GetSecret.

  9. Włącz opcję Wyjściowe wpisy tajne w ustawieniach, a następnie wybierz opcję Wykonane. Ma to zapobiec poznaniu wyniku akcji w historii uruchomienia przepływu.

    Włącz ustawienie bezpiecznego wyjścia dla akcji

  10. Wybierz opcję Nowy krok, wyszukaj i wybierz łącznik HTTP.

  11. Wybierz Metodę jako GET i wprowadź identyfikator URI z usługi sieci Web. W tym przykładzie zostanie użyta fikcyjna usługa sieci Web httpbin.org.

  12. Wybierz opcję Pokaż opcje zaawansowane, wybierz Uwierzytelnianie jako Podstawowe, a następnie wprowadź Nazwę użytkownika.

  13. Wybierz pole Hasło, a następnie na karcie Zawartości dynamicznej pod nazwą kroku przepływu powyżej (GetSecret w tym przykładzie) wybierz RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, która jest następnie dodana jako wyrażenie outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue']``body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Tworzenie nowego kroku przy użyciu łącznika HTTP

  14. Wybierz ... > Ustawienia, w których mają być wyświetlane ustawienia akcji HTTP.

  15. Włącz opcję Zabezpieczone wejścia and Zabezpieczone wyjścia w ustawieniach, a następnie wybierz opcję  Wykonane. Włączenie tych opcji zapobiega ujawnieniu danych wejściowych i wyjściowych akcji w historii uruchomienia przepływu.

  16. Wybierz pozycję Zapisz, by utworzyć przepływ.

  17. Ręcznie uruchom przepływ, aby go przetestować.

    Korzystając z historii uruchamiania przepływu można sprawdzić wyniki pracy.

    Dane wyjściowe przepływu

Ograniczenia

  • Zmienne środowiskowe odwołujące się do wpisów tajnych magazynu Azure Key Vault są obecnie ograniczone do użycia z przepływami Power Automate i łącznikami niestandardowymi.

Zobacz też

Używanie źródła danych środowiska w aplikacjach kanw
Używanie zmiennych środowiska w przepływach Power Automate w chmurze
Przegląd zmiennych środowiskowych.

Uwaga

Czy możesz poinformować nas o preferencjach dotyczących języka dokumentacji? Wypełnij krótką ankietę. (zauważ, że ta ankieta jest po angielsku)

Ankieta zajmie około siedmiu minut. Nie są zbierane żadne dane osobowe (oświadczenie o ochronie prywatności).