Управление секретами в Контейнерах приложений Azure

Контейнеры приложений Azure позволяют приложению безопасно хранить конфиденциальные значения конфигурации. После определения секретов на уровне приложения защищенные значения доступны для редакций в приложениях контейнеров. Кроме того, можно ссылаться на защищенные значения внутри правил масштабирования. Сведения об использовании секретов с Dapr см. в статье об интеграции Dapr.

• Секреты ограничены приложением за пределами какой-либо конкретной редакции приложения.
• Новые редакции не создаются путем добавления, удаления или изменения секретов.
• Каждая редакция приложения может ссылаться на один или несколько секретов.
• Несколько редакций могут ссылаться на одни и те же секреты.

Обновленный или удаленный секрет не влияет на существующие редакции в приложении. При обновлении или удалении секрета можно ответить на изменения одним из двух способов:

1. Развертывание новой редакции.
2. Перезапуск существующей редакции.

Перед удалением секрета разверните новую редакцию, которая больше не ссылается на старый секрет. Затем деактивируйте все редакции, ссылающиеся на секрет.

Определение секретов

Секреты определяются как набор пар name/value. Значение каждого секрета указывается непосредственно или в качестве ссылки на секрет, хранящийся в Azure Key Vault.

Примечание.

Избегайте указания значения секрета непосредственно в рабочей среде. Вместо этого используйте ссылку на секрет, хранящийся в Azure Key Vault, как описано в разделе "Секрет Магазина" в разделе "Приложения контейнеров".

Сохранение значения секрета в приложениях-контейнерах

При определении секретов на портале или с помощью различных параметров командной строки.

Портал Azure

1. Перейдите в приложение-контейнер в портал Azure.

2. В разделе "Параметры" выберите "Секреты".

3. Выберите Добавить.

4. В области "Добавление секрета" введите следующие сведения:

   • Имя: имя секрета.
   • Тип: выбор секрета приложений контейнеров.
   • Значение: значение секрета.

5. Выберите Добавить.

Шаблон ARM

Секреты определяются на уровне приложения в разделе resources.properties.configuration.secrets.

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "value": "<MY-CONNECTION-STRING-VALUE>"
            }],
        }
    }
}

Здесь строка подключения к учетной записи Хранилища очередей объявляется в массиве secrets. В этом примере вы замените <MY-CONNECTION-STRING-VALUE> значением строка подключения.

Azure CLI

При создании приложения-контейнера секреты определяются с помощью --secrets параметра.

• Параметр принимает разделенный пробелом набор пар name/value.
• Знак равенства (=) разделяет каждую пару.

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --secrets "queue-connection-string=<CONNECTION_STRING>"

Здесь строка подключения к учетной записи Хранилища очередей объявляется в параметре --secrets. Замените <CONNECTION_STRING> значением строка подключения.

PowerShell

При создании приложения-контейнера секреты определяются как один или несколько объектов Secret, передаваемых через ConfigurationSecrets параметр.

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id
$TemplateObj = New-AzContainerAppTemplateObject -Name queuereader -Image demos/queuereader:v1
$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString

$ContainerAppArgs = @{
    Name = 'my-resource-group'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

Здесь объявляется строка подключения учетной записи хранения очереди. Значение queue-connection-string, полученное из переменной среды с именем $QueueConnectionString.

Справочный секрет из Key Vault

При определении секрета создается ссылка на секрет, хранящийся в Azure Key Vault. Контейнерные приложения автоматически извлекают значение секрета из Key Vault и делают его доступным в качестве секрета в приложении контейнера.

Чтобы ссылаться на секрет из Key Vault, необходимо сначала включить управляемое удостоверение в приложении контейнера и предоставить удостоверению доступ к секретам Key Vault.

Сведения о включении управляемого удостоверения в приложении-контейнере см. в разделе "Управляемые удостоверения".

Чтобы предоставить доступ к секретам Key Vault, создайте политику доступа в Key Vault для созданного управляемого удостоверения. Включите в этой политике разрешения "Get" на получение секретов.

Портал Azure

1. Перейдите в приложение-контейнер в портал Azure.

2. В разделе "Параметры" выберите "Удостоверение".

3. На вкладке Назначено системой для параметра Состояние установите значение Вкл.

4. Нажмите кнопку "Сохранить", чтобы включить управляемое удостоверение, назначенное системой.

5. Появится всплывающее окно, чтобы убедиться, что вы хотите включить управляемое удостоверение, назначенное системой, и зарегистрировать приложение контейнера с помощью идентификатора Microsoft Entra. Выберите Да.

6. В разделе "Параметры" выберите "Секреты".

7. Выберите Добавить.

8. В области "Добавление секрета" введите следующие сведения:

   • Имя: имя секрета.
   • Тип: ссылка на Key Vault.
   • URL-адрес секрета Key Vault: универсальный код ресурса (URI) секрета в Key Vault. Этот универсальный код ресурса (URI) имеет следующую форму: https://<YOUR_KEY_VAULT_NAME>.vault.azure.net/secrets/<YOUR_SECRET_NAME>/<32_DIGIT_HEX_ID>
   • Удостоверение: выбор назначенной системы.

9. Выберите Добавить.

Шаблон ARM

Секреты определяются на уровне приложения в разделе resources.properties.configuration.secrets.

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "keyVaultUrl": "<KEY_VAULT_SECRET_URI>",
                "identity": "system"
            }],
        }
    }
}

Здесь строка подключения к учетной записи Хранилища очередей объявляется в массиве secrets. Его значение автоматически извлекается из Key Vault с помощью указанного удостоверения. Чтобы использовать управляемое удостоверение пользователя, замените system его идентификатором ресурса.

Замените <KEY_VAULT_SECRET_URI> URI секрета в Key Vault.

Azure CLI

При создании приложения-контейнера секреты определяются с помощью --secrets параметра.

• Параметр принимает разделенный пробелом набор пар name/value.
• Знак равенства (=) разделяет каждую пару.
• Чтобы указать ссылку на Key Vault, используйте формат <SECRET_NAME>=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<MANAGED_IDENTITY_ID>. Например, queue-connection-string=keyvaultref:https://mykeyvault.vault.azure.net/secrets/queuereader,identityref:/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity.

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
  --secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>"

Здесь строка подключения к учетной записи Хранилища очередей объявляется в параметре --secrets. Замените <KEY_VAULT_SECRET_URI> URI секрета в Key Vault. Замените <USER_ASSIGNED_IDENTITY_ID> идентификатором ресурса назначаемого пользователем удостоверения.

Примечание.

Удостоверение, назначаемое пользователем, должно иметь доступ к секрету в Key Vault. Назначенное системой удостоверение нельзя использовать с командой создания, так как она недоступна до создания приложения контейнера.

PowerShell

Ссылки на Key Vault секретов не поддерживаются в PowerShell.

Примечание.

Если вы используете UDR с Брандмауэр Azure, необходимо добавить AzureKeyVault тег службы и полное доменное имя login.microsoft.com в список разрешений для брандмауэра. Ознакомьтесь с настройкой UDR с помощью Брандмауэр Azure, чтобы решить, какие дополнительные теги службы вам нужны.

Универсальный код ресурса (URI) секрета Key Vault и смена секретов

URI секрета Key Vault должен находиться в одном из следующих форматов:

• https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931: ссылка на определенную версию секрета.
• https://myvault.vault.azure.net/secrets/mysecret: ссылка на последнюю версию секрета.

Если версия не указана в URI, приложение использует последнюю версию, которая существует в хранилище ключей. Когда новые версии становятся доступными, приложение автоматически извлекает последнюю версию в течение 30 минут. Все активные редакции, ссылающиеся на секрет в переменной среды, автоматически перезапускается для получения нового значения.

Для полного управления версией секрета укажите версию в URI.

Ссылка на секреты в переменных среды

После объявления секретов на уровне приложения, как описано в разделе определения секретов , вы можете ссылаться на них в переменных среды при создании новой редакции в приложении контейнера. Если переменная среды ссылается на секрет, его значение заполняется значением, определенным в секрете.

Пример

В следующем примере показано приложение, которое объявляет строка подключения на уровне приложения. Это подключение ссылается в переменной среды контейнера и в правиле масштабирования.

Портал Azure

После определения секрета в приложении-контейнере вы можете ссылаться на него в переменной среды при создании новой редакции.

1. Перейдите в приложение-контейнер в портал Azure.

2. В разделе "Приложение" выберите "Редакции" и "реплики".

3. На странице "Редакции и реплики" выберите "Создать новую редакцию".

4. На странице "Создание и развертывание новой редакции" на вкладке "Контейнер" в разделе "Образ контейнера" выберите контейнер.

5. Выберите Изменить.

6. В области контекста контейнера выберите вкладку переменных среды.

7. Выберите Добавить.

8. Введите следующие данные:

   • Имя: имя переменной среды.
   • Источник: выбор ссылки на секрет.
   • Значение. Выберите секрет, определенный ранее.

9. Выберите Сохранить.

10. На странице "Создание и развертывание новой редакции" выберите "Создать", чтобы создать новую редакцию.

Шаблон ARM

В этом примере строка подключения приложения объявляется как queue-connection-string и становится доступной в других разделах конфигурации.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "key_vault_secret_uri": {
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-03-01",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                {
                    "name": "queue-connection-string",
                    "keyVaultUrl": "[parameters('key_vault_secret_uri')",
                    "identity": "system"
                }]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "env": [
                            {
                                "name": "QueueName",
                                "value": "myqueue"
                            },
                            {
                                "name": "ConnectionString",
                                "secretRef": "queue-connection-string"
                            }
                        ]
                    }
                ],
                "scale": {
                    "minReplicas": 0,
                    "maxReplicas": 10,
                    "rules": [
                        {
                            "name": "myqueuerule",
                            "azureQueue": {
                                "queueName": "demoqueue",
                                "queueLength": 100,
                                "auth": [
                                    {
                                        "secretRef": "queue-connection-string",
                                        "triggerParameter": "connection"
                                    }
                                ]
                            }
                        }
                    ]
                }
            }
        }
    }]
}

Здесь переменная среды с именем connection-string получает значение из секрета уровня приложения queue-connection-string. Кроме того, конфигурация проверки подлинности в службе хранилища очередей Azure использует queue-connection-string секрет для определения его подключения.

Чтобы избежать фиксации секретных значений в системе управления версиями с помощью шаблона ARM, передайте значения секретов в качестве параметров шаблона ARM.

Azure CLI

В этом примере вы создадите приложение-контейнер с помощью Azure CLI с секретом, на который ссылается переменная среды. Чтобы ссылаться на секрет в переменной среды в Azure CLI, задайте для нее значение secretref:, а затем имя секрета.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
  --secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>" \
  --env-vars "QueueName=myqueue" "ConnectionString=secretref:queue-connection-string"

Здесь переменная среды с именем connection-string получает значение из секрета уровня приложения queue-connection-string.

PowerShell

Ссылки на Key Vault секретов не поддерживаются в PowerShell.

В этом примере вы создадите контейнер с помощью Azure PowerShell с секретом, на который ссылается переменная среды. Чтобы ссылаться на секрет в переменной среды в PowerShell, задайте для нее значение secretref:, за которым следует имя секрета.

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id

$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString
$EnvVarObjQueue = New-AzContainerAppEnvironmentVarObject -Name QueueName -Value myqueue
$EnvVarObjConn = New-AzContainerAppEnvironmentVarObject -Name ConnectionString -SecretRef queue-connection-string -Value secretref
$TemplateObj = New-AzContainerAppTemplateObject -Name myQueueApp -Image demos/myQueueApp:v1 -Env $EnvVarObjQueue, $EnvVarObjConn

$ContainerAppArgs = @{
    Name = 'myQueueApp'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

Здесь переменная среды с именем ConnectionString получает значение из секрета уровня приложения $QueueConnectionString.

Подключение секретов в томе

После объявления секретов на уровне приложения, как описано в разделе определения секретов , вы можете ссылаться на них в подключениях томов при создании новой редакции в приложении контейнера. При подключении секретов в томе каждый секрет подключается в виде файла в томе. Имя файла — это имя секрета, а содержимое файла — значение секрета. Вы можете загрузить все секреты в подключение тома или загрузить определенные секреты.

Пример

Портал Azure

После определения секрета в приложении-контейнере вы можете ссылаться на него в подключении томов при создании новой редакции.

1. Перейдите в приложение-контейнер в портал Azure.

2. В разделе "Приложение" выберите "Редакции" и "реплики".

3. На странице "Редакции и реплики" выберите "Создать новую редакцию".

4. На странице "Создание и развертывание новой редакции" на вкладке "Контейнер" в разделе "Образ контейнера" выберите контейнер.

5. Выберите Изменить.

6. В области контекста контейнера выберите вкладку "Подключение тома".

7. Выберите "Создать новый том".

8. В области контекста добавления тома введите следующие сведения:

   • Тип тома: выберите Secret.
   • Имя: mysecrets
   • Подключение всех секретов: включено

   Примечание.

   Если вы хотите загрузить определенные секреты, отключите все секреты и выберите секреты, которые вы хотите загрузить.

9. Выберите Добавить.

10. В области контекста контейнера в разделе "Имя тома" выберите mysecrets.

11. В разделе "Путь подключения" введите /mnt/secrets.

12. Выберите Сохранить.

13. На странице "Создание и развертывание новой редакции" выберите "Создать", чтобы создать новую редакцию с подключением тома.

Шаблон ARM

В этом примере два секрета объявляются на уровне приложения. Эти секреты подключены в томе с именем mysecrets типа Secret. Том подключается по пути /mnt/secrets. Затем приложение может ссылаться на секреты в подключении тома.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "key_vault_secret_uri": {
            "type": "Securestring"
        },
        "api-key": {
            "type": "Securestring"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-11-01-preview",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                    {
                        "name": "queue-connection-string",
                        "keyVaultUrl": "[parameters('key_vault_secret_uri')",
                        "identity": "system"
                    },
                    {
                        "name": "api-key",
                        "value": "[parameters('api-key')]"
                    }
                ]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "volumeMounts": [
                            {
                                "name": "mysecrets",
                                "mountPath": "/mnt/secrets"
                            }
                        ]
                    }
                ],
                "volumes": [
                    {
                        "name": "mysecrets",
                        "storageType": "Secret"
                    }
                ]
            }
        }
    }]
}

Чтобы загрузить определенные секреты и указать пути в подключенном томе, определите секреты в secrets массиве объекта тома. В следующем примере показано, как загрузить только queue-connection-string секрет в подключении тома mysecrets с именем connection-string.txtфайла.

{
    "properties": {
        ...
        "configuration": {
            ...
            "secrets": [
                {
                    "name": "queue-connection-string",
                    "keyVaultUrl": "[parameters('key_vault_secret_uri')",
                    "identity": "system"
                },
                {
                    "name": "api-key",
                    "value": "[parameters('api-key')]"
                }
            ]
        },
        "template": {
            "containers": [
                {
                    "image": "myregistry/myQueueApp:v1",
                    "name": "myQueueApp",
                    "volumeMounts": [
                        {
                            "name": "mysecrets",
                            "mountPath": "/mnt/secrets"
                        }
                    ]
                }
            ],
            "volumes": [
                {
                    "name": "mysecrets",
                    "storageType": "Secret",
                    "secrets": [
                        {
                            "secretRef": "queue-connection-string",
                            "path": "connection-string.txt"
                        }
                    ]
                }
            ]
        }
        ...
    }
    ...
}

В приложении вы можете прочитать секрет из файла, расположенного по адресу /mnt/secrets/connection-string.txt.

Azure CLI

В этом примере два секрета объявляются на уровне приложения. Эти секреты подключены в томе с именем mysecrets типа Secret. Том подключается по пути /mnt/secrets. Затем приложение может считывать секреты в виде файлов в подключении тома.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
  --secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>" "api-key=$API_KEY" \
  --secret-volume-mount "/mnt/secrets"

Чтобы загрузить определенные секреты и указать пути в подключенном томе, определите приложение с помощью YAML.

PowerShell

Подключение секретов в качестве тома не поддерживается в PowerShell.

Следующие шаги

Контейнеры