Compartilhar via


Gerenciar segredos nos Aplicativos de Contêiner do Azure

Os Aplicativos de Contêiner do Azure permitem que seu aplicativo armazene com segurança valores de configuração confidenciais. Depois que os segredos são definidos no nível do aplicativo, os valores protegidos estão disponíveis para revisões em seus aplicativos de contêiner. Além disso, você pode referenciar valores protegidos dentro de regras de escala. Para obter informações de como usar segredos com o Dapr, confira Integração do Dapr

  • Os segredos têm como escopo um aplicativo, fora de qualquer revisão específica de um aplicativo.
  • Novas revisões não são geradas por meio da adição, remoção ou alteração de segredos.
  • Cada revisão de aplicativo pode fazer referência a um ou mais segredos.
  • Várias revisões podem referenciar os mesmos segredos.

Um segredo atualizado ou excluído não afeta automaticamente as revisões existentes no aplicativo. Quando um segredo é atualizado ou excluído, você pode responder a alterações de uma das seguintes maneiras:

  1. Implantar uma nova revisão.
  2. Reiniciar uma revisão existente.

Antes de excluir um segredo, implante uma nova revisão que não faça mais referência ao segredo antigo. Em seguida, desative todas as revisões que referenciam o segredo.

Definindo segredos

Os segredos são definidos como um conjunto de pares nome/valor. O valor de cada segredo é especificado diretamente ou como uma referência a um segredo armazenado no Azure Key Vault.

Observação

Evite especificar o valor de um segredo diretamente em um ambiente de produção. Em vez disso, use uma referência a um segredo armazenado no Azure Key Vault, conforme descrito na seção Armazenar valor secreto em aplicativos de contêiner.

Armazenar o valor do segredo em Aplicativos de Contêiner

Ao definir segredos por meio do portal ou por meio de diferentes opções de linha de comando.

  1. Acesse o aplicativo de contêiner no portal do Azure.

  2. Na seção Configurações, selecione Segredos.

  3. Selecione Adicionar.

  4. No painel Adicionar contexto de segredo, insira as seguintes informações:

    • Nome: O nome do segredo.
    • Tipo: selecione Segredo de Aplicativos de Contêiner.
    • Valor: O valor do segredo.
  5. Selecione Adicionar.

Segredo de referência do Key Vault

Ao definir um segredo, crie uma referência a um segredo armazenado no Azure Key Vault. Os Aplicativos de Contêiner recuperam automaticamente o valor secreto do Key Vault e o disponibiliza como um segredo no aplicativo de contêiner.

Para fazer referência a um segredo do Key Vault, primeiro habilite a identidade gerenciada no aplicativo de contêiner e conceda à identidade acesso aos segredos do Key Vault.

Para habilitar a identidade gerenciada em seu aplicativo de contêiner, consulte Identidades gerenciadas.

Para conceder acesso a Key Vault segredos, crie uma política de acesso no Key Vault para a identidade gerenciada que você criou. Ative a permissão secreta "Obter" nesta política.

  1. Acesse o aplicativo de contêiner no portal do Azure.

  2. Na seção Configurações, selecione Identidade.

  3. Na guia Sistema atribuído, selecione On.

  4. Selecione Salvar para habilita a identidade gerenciada atribuída pelo sistema.

  5. Na seção Configurações, selecione Segredos.

  6. Selecione Adicionar.

  7. No painel Adicionar contexto de segredo, insira as seguintes informações:

    • Nome: O nome do segredo.
    • Tipo: selecione Key Vault referência.
    • Key Vault URL secreta: O URI do seu segredo em Key Vault.
    • Identidade: A identidade a ser usada para recuperar o segredo do Key Vault.
  8. Selecione Adicionar.

Observação

Se você estiver usando UDR com Firewall do Azure, precisará adicionar a AzureKeyVault marca de serviço e o FQDN login.microsoft.com à lista de permissões para o firewall. Consulte configurar a UDR com Firewall do Azure para decidir quais marcas de serviço adicionais você precisa.

Key Vault URI secreto e rotação de segredo

O URI do segredo Key Vault deve estar em um dos seguintes formatos:

  • https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931:referenciar uma versão específica de um segredo.
  • https://myvault.vault.azure.net/secrets/mysecret: Referencie a versão mais recente de um ativo:

Se uma versão não for especificada na referência, o aplicativo usará a versão mais recente no cofre de chaves. Quando versões mais recentes ficam disponíveis, o aplicativo recupera automaticamente a versão mais recente dentro de 30 minutos. Todas as revisões ativas que fazem referência ao segredo em uma variável de ambiente são reiniciadas automaticamente para obter o novo valor.

Para ter controle total de qual versão de um segredo é usada, especifique a versão no URI.

Como referenciar segredos em variáveis de ambiente

Depois de declarar segredos no nível do aplicativo, conforme descrito na seção Definição de segredos, você pode referenciá-los em variáveis de ambiente, ao criar uma nova revisão no aplicativo de contêiner. Quando uma variável de ambiente referencia um segredo, o valor é preenchido com o valor definido no segredo.

Exemplo

O exemplo a seguir mostra um aplicativo que declara uma cadeia de conexão no nível do aplicativo. Essa conexão é referenciada em uma variável de ambiente de contêiner e em uma regra de escala.

Depois de definir um segredo em seu aplicativo de contêiner, você pode referenciá-lo em uma variável de ambiente ao criar uma nova revisão.

  1. Acesse o aplicativo de contêiner no portal do Azure.

  2. Abra a página Gerenciamento de revisão.

  3. Selecione Criar nova revisão.

  4. Na página Criar e implantar nova revisão, selecione um contêiner.

  5. Na seção Variáveis de ambiente, selecione o botão Adicionar.

  6. Insira as seguintes informações:

    • Nome: o nome da variável de ambiente.
    • Fonte: selecione Referenciar um segredo.
    • Valor: selecione o segredo que você deseja referenciar.
  7. Selecione Salvar.

  8. Depois, selecione Criar para criar o grupo.

Montar segredos em um volume

Depois de declarar segredos no nível do aplicativo, conforme descrito na seção Definição de segredos, você pode referenciá-los em variáveis de ambiente, ao criar uma nova revisão no aplicativo de contêiner. Quando você monta segredos em um volume, cada segredo é montado como um arquivo no volume. O nome do arquivo é o nome do segredo e o conteúdo do arquivo é o valor do segredo. Você pode carregar todos os segredos em uma montagem de volume ou carregar segredos específicos.

Exemplo

Depois de definir um segredo em seu aplicativo de contêiner, você pode referenciá-lo em uma variável de ambiente ao criar uma nova revisão.

  1. Acesse o aplicativo de contêiner no portal do Azure.

  2. Abra a página Gerenciamento de revisão.

  3. Selecione Criar nova revisão.

  4. Na página Criar e implantar nova revisão.

  5. Selecione o contêiner e Editar.

  6. Na seção Montagens de volume , expanda a seção Segredos.

  7. Selecione Criar nova regra.

  8. Insira as seguintes informações:

    • Nome: mysecrets
    • Montar todos os segredos: habilitado

    Observação

    Se você quiser carregar segredos específicos, desabilite Montar todos os segredos e selecione os segredos que deseja carregar.

  9. Selecione Adicionar.

  10. Em Nome do volume, selecione mysecrets.

  11. Em Caminho de montagem, insira /mnt/secrets.

  12. Selecione Salvar.

  13. Selecione Criar para criar a nova revisão com a montagem do volume.

Próximas etapas