Carregar um segredo do Azure Key Vault em um aplicativo Spring Boot

Este tutorial mostra como usar o Key Vault em aplicativos Spring Boot para proteger dados de configuração confidenciais e recuperar propriedades de configuração do Key Vault. O Cofre de Chaves fornece armazenamento seguro de segredos genéricos, como senhas e cadeias de conexão de banco de dados.

Pré-requisitos

• Uma assinatura do Azure - crie uma gratuitamente.
• Java Development Kit (JDK) versão 8 ou superior.
• Apache Maven
• CLI do Azure
• Uma instância do Cofre da Chave. Se você não tiver um, consulte Guia de início rápido: criar um cofre de chaves usando o portal do Azure. Além disso, anote o URI da instância do Cofre da Chave, conforme necessário para o aplicativo de teste deste tutorial.
• Um aplicativo Spring Boot. Se você não tiver um, crie um projeto Maven com o Spring Initializr. Certifique-se de selecionar Projeto Maven e, em Dependências, adicione as dependências Spring Web, Spring Data JPA e H2 Database e, em seguida, selecione Java versão 8 ou superior.

Importante

O Spring Boot versão 2.5 ou superior é necessário para concluir as etapas neste artigo.

Definir um segredo para o Azure Key Vault

Este tutorial descreve como ler credenciais de banco de dados do Key Vault em um aplicativo Spring Boot. Para ler as credenciais do Cofre da Chave, você deve primeiro armazenar as credenciais do banco de dados no Cofre da Chave.

Para armazenar a URL de um banco de dados H2 como um novo segredo no Cofre de Chaves, consulte Guia de início rápido: definir e recuperar um segredo do Cofre de Chaves do Azure usando o portal do Azure. Neste tutorial, você definirá um segredo com nome h2url e valor jdbc:h2:~/testdb;user=sa;password=password.

Nota

Depois de definir o segredo, conceda ao seu aplicativo acesso ao Cofre da Chave seguindo as instruções em Atribuir uma política de acesso ao Cofre da Chave.

Leia um segredo do Azure Key Vault

Agora que as credenciais do banco de dados foram armazenadas no Cofre da Chave, você pode recuperá-las com o Spring Cloud Azure.

Para instalar o módulo Spring Cloud Azure Key Vault Starter, adicione as seguintes dependências ao seu arquivo pom.xml :

• A lista de materiais (BOM) do Azure Spring Cloud:

  <dependencyManagement>
    <dependencies>
      <dependency>
        <groupId>com.azure.spring</groupId>
        <artifactId>spring-cloud-azure-dependencies</artifactId>
        <version>5.19.0</version>
        <type>pom</type>
        <scope>import</scope>
      </dependency>
    </dependencies>
  </dependencyManagement>
  

  Nota

  Se estiver a utilizar o Spring Boot 2.x, certifique-se de que define a spring-cloud-azure-dependencies versão como 4.19.0. Esta lista de materiais (BOM) deve ser configurada na <dependencyManagement> seção do seu arquivo de pom.xml . Isso garante que todas as dependências do Spring Cloud Azure estejam usando a mesma versão. Para obter mais informações sobre a versão usada para essa lista técnica, consulte Qual versão do Spring Cloud Azure devo usar.

• O artefato inicial do Spring Cloud Azure Key Vault:

  <dependency>
    <groupId>com.azure.spring</groupId>
    <artifactId>spring-cloud-azure-starter-keyvault</artifactId>
  </dependency>
  

O Spring Cloud Azure tem vários métodos para ler segredos do Cofre da Chave. Você pode usar os seguintes métodos independentemente ou combiná-los para diferentes casos de uso:

• Use o SDK do Azure para Cofre de Chaves.
• Use o Spring KeyVault PropertySource.

Usar o SDK do Azure para o Cofre da Chave

O SDK do Azure para Cofre de Chaves fornece SecretClient para gerenciar segredos no Cofre de Chaves.

O exemplo de código a seguir mostrará como usar SecretClient para recuperar credenciais de banco de dados H2 do Azure Key Vault.

Para ler um segredo usando o SDK do Azure do Cofre da Chave, configure o aplicativo seguindo estas etapas:

1. Configure um ponto de extremidade do Cofre da Chave no arquivo de configuração application.properties .

   spring.cloud.azure.keyvault.secret.endpoint=https://<your-keyvault-name>.vault.azure.net/
   

2. Injete o SecretClient feijão em seu aplicativo Spring e use o getSecret método para recuperar um segredo, como mostrado no exemplo a seguir:

   import com.azure.security.keyvault.secrets.SecretClient;
   import org.springframework.boot.CommandLineRunner;
   import org.springframework.boot.SpringApplication;
   import org.springframework.boot.autoconfigure.SpringBootApplication;
   
   @SpringBootApplication
   public class SecretClientApplication implements CommandLineRunner {
   
       // Spring Cloud Azure will automatically inject SecretClient in your ApplicationContext.
       private final SecretClient secretClient;
   
       public SecretClientApplication(SecretClient secretClient) {
           this.secretClient = secretClient;
       }
   
       public static void main(String[] args) {
           SpringApplication.run(SecretClientApplication.class, args);
       }
   
       @Override
       public void run(String... args) {
           System.out.println("h2url: " + secretClient.getSecret("h2url").getValue());
       }
   }
   

   Gorjeta

   Neste tutorial, não há operações de autenticação nas configurações ou no código. No entanto, conectar-se aos serviços do Azure requer autenticação. Para concluir a autenticação, você precisa usar a Identidade do Azure. O Spring Cloud Azure usa DefaultAzureCredentialo , que a biblioteca de Identidades do Azure fornece para ajudá-lo a obter credenciais sem alterações de código.

   DefaultAzureCredential Suporta vários métodos de autenticação e determina qual método usar em tempo de execução. Essa abordagem permite que seu aplicativo use diferentes métodos de autenticação em ambientes diferentes (como ambientes locais e de produção) sem implementar código específico do ambiente. Para obter mais informações, consulte DefaultAzureCredential.

   Para concluir a autenticação em ambientes de desenvolvimento local, você pode usar a CLI do Azure, o Visual Studio Code, o PowerShell ou outros métodos. Para obter mais informações, consulte Autenticação do Azure em ambientes de desenvolvimento Java. Para concluir a autenticação em ambientes de hospedagem do Azure, recomendamos o uso da identidade gerenciada atribuída pelo usuário. Para obter mais informações, consulte O que são identidades gerenciadas para recursos do Azure?

3. Inicie a aplicação. Você verá logs semelhantes ao exemplo a seguir:

   h2url: jdbc:h2:~/testdb;user=sa;password=password
   

Você pode construir o SecretClient feijão sozinho, mas o processo é complicado. Em aplicativos Spring Boot, você precisa gerenciar propriedades, aprender o padrão do construtor e registrar o cliente no contexto do aplicativo Spring. O exemplo de código a seguir mostra como você cria um SecretClient bean:

import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class SecretClientConfiguration {

    @Bean
    public SecretClient createSecretClient() {
        return new SecretClientBuilder()
            .vaultUrl("https://<your-key-vault-url>.vault.azure.net/")
            .credential(new DefaultAzureCredentialBuilder().build())
            .buildClient();
    }

}

A lista a seguir mostra alguns dos motivos pelos quais esse código não é flexível ou gracioso:

• O ponto de extremidade do Cofre da Chave é codificado.
• Se você usar @Value para obter configurações do ambiente Spring, não poderá ter dicas do IDE no arquivo application.properties .
• Se você tiver um cenário de microsserviço, o código deve ser duplicado em cada projeto, e é fácil cometer erros e difícil ser consistente.

Felizmente, criar o bean sozinho não é necessário com o SecretClient Spring Cloud Azure. Em vez disso, você pode injetar SecretClient e usar diretamente as propriedades de configuração com as quais já está familiarizado para configurar o Cofre da Chave. Para obter mais informações, consulte Exemplos de configuração.

O Spring Cloud Azure também fornece as seguintes configurações globais para diferentes cenários. Para obter mais informações, consulte a seção Configuração global para SDKs de Serviço do Azure do Guia do desenvolvedor do Spring Cloud Azure.

• Opções de proxy.
• Opções de repetição novamente.
• Opções do cliente de transporte HTTP.

Você também pode se conectar a diferentes nuvens do Azure. Para obter mais informações, consulte Conectar-se a diferentes nuvens do Azure.

Usar o Spring Key Vault PropertySource

As seções anteriores mostraram como usar SecretClient no CommandLineRunner para ler o segredo depois que o aplicativo foi iniciado. Em aplicativos Spring Boot, no entanto, a leitura de segredos é necessária antes que o aplicativo seja iniciado. Por exemplo, a propriedade de senha da fonte de dados é necessária antes que o aplicativo seja iniciado. O cenário anterior não funcionará se você quiser armazenar a senha da fonte de dados no Cofre da Chave e ainda usar a configuração automática do Spring para obter uma fonte de dados.

Nesse caso, o Spring Cloud Azure fornece integração de ambiente Spring para carregar segredos do Key Vault antes de criar o contexto do aplicativo. Você pode usar o segredo para construir e configurar o bean durante a inicialização do contexto do aplicativo Spring. Essa abordagem é uma maneira transparente de acessar segredos do Cofre de Chaves, e nenhuma alteração de código é necessária.

O exemplo de código a seguir mostra como usar PropertySource para recuperar credenciais de banco de dados H2 para criar a fonte de dados do Cofre de Chaves do Azure.

Para recuperar a URL de um banco de dados H2 do Cofre da Chave e armazenar dados do banco de dados H2 usando o Spring Data JPA, configure o aplicativo seguindo estas etapas:

1. Adicione as seguintes propriedades de ponto de extremidade e fonte de dados do Cofre da Chave ao arquivo de configuração application.properties .

   logging.level.org.hibernate.SQL=DEBUG
   
   spring.cloud.azure.keyvault.secret.property-sources[0].endpoint=https://<your-keyvault-name>.vault.azure.net/
   spring.datasource.url=${h2url}
   
   spring.jpa.hibernate.ddl-auto=create-drop
   spring.jpa.database-platform=org.hibernate.dialect.H2Dialect
   

   Gorjeta

   Para obter exemplos de configuração de propriedades do Spring Cloud Azure, consulte a seção Exemplos de configuração do guia do desenvolvedor do Spring Cloud Azure.

   Gorjeta

   Este exemplo é um cenário de banco de dados simples usando um banco de dados H2. Recomendamos usar o Banco de Dados do Azure para MySQL ou o Banco de Dados do Azure para PostgreSQL em um ambiente de produção e armazenar a URL do banco de dados, o nome de usuário e a senha no Cofre de Chaves do Azure. Se você quiser evitar a senha, conexões sem senha é uma boa escolha. Para obter mais informações, consulte Conexões sem senha para serviços do Azure.

2. Crie uma nova Todo classe Java. Esta classe é um modelo de domínio mapeado todo na tabela que será criado automaticamente pela JPA. O código a seguir ignora os getters métodos e setters .

   import javax.persistence.Entity;
   import javax.persistence.GeneratedValue;
   import javax.persistence.Id;
   
   @Entity
   public class Todo {
   
       public Todo() {
       }
   
       public Todo(String description, String details, boolean done) {
           this.description = description;
           this.details = details;
           this.done = done;
       }
   
       @Id
       @GeneratedValue
       private Long id;
   
       private String description;
   
       private String details;
   
       private boolean done;
   
   }
   

3. Edite o arquivo de classe de inicialização para mostrar o seguinte conteúdo.

   import org.springframework.boot.SpringApplication;
   import org.springframework.boot.autoconfigure.SpringBootApplication;
   import org.springframework.boot.context.event.ApplicationReadyEvent;
   import org.springframework.context.ApplicationListener;
   import org.springframework.context.annotation.Bean;
   import org.springframework.data.jpa.repository.JpaRepository;
   
   import java.util.stream.Stream;
   
   @SpringBootApplication
   public class KeyvaultApplication {
   
       public static void main(String[] args) {
           SpringApplication.run(KeyvaultApplication.class, args);
       }
   
       @Bean
       ApplicationListener<ApplicationReadyEvent> basicsApplicationListener(TodoRepository repository) {
           return event->repository
               .saveAll(Stream.of("A", "B", "C").map(name->new Todo("configuration", "congratulations, you have set up "
                   + "correctly!", true)).toList())
               .forEach(System.out::println);
       }
   
   }
   
   interface TodoRepository extends JpaRepository<Todo, Long> {
   
   }
   

4. Inicie a aplicação. O aplicativo recuperará a URL do banco de dados H2 do Cofre da Chave, conectar-se-á ao banco de dados H2 e armazenará dados no banco de dados. Você verá logs semelhantes ao exemplo a seguir:

   2023-01-13 15:51:35.498 DEBUG 5616 --- [main] org.hibernate.SQL: insert into todo (description, details, done, id) values (?, ?, ?, ?)
   com.contoso.keyvault.Todo@1f
   

Implantar no Azure Spring Apps

Agora que você tem o aplicativo Spring Boot em execução localmente, é hora de movê-lo para a produção. O Azure Spring Apps facilita a implantação de aplicativos Spring Boot no Azure sem alterações de código. O serviço gerencia a infraestrutura dos aplicativos Spring para que os desenvolvedores possam se concentrar em seu código. O Azure Spring Apps fornece gerenciamento do ciclo de vida usando monitoramento e diagnóstico abrangentes, gerenciamento de configuração, descoberta de serviços, integração de CI/CD, implantações azul-verde e muito mais. Para implantar seu aplicativo no Azure Spring Apps, consulte Implantar seu primeiro aplicativo no Azure Spring Apps.

Próximos passos

Azure para desenvolvedoresdo Spring Azure Exemplos do Azure KeyVault