你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
快速入门:连接 Azure 服务和在 Azure Key Vault 中存储机密
Azure Key Vault 是一项云服务,它为机密提供了安全的存储。 可以安全地存储密钥、密码、证书和其他机密。 创建服务连接时,可以安全地将访问密钥和机密存储在连接的密钥保管库中。 在本教程中,你会使用 Azure 门户完成以下任务。 以下过程介绍了这两种方法。
- 在 Azure 应用服务中创建与 Azure 密钥保管库的服务连接
- 创建与 Azure Blob 存储的服务连接并将机密存储在密钥保管库中
- 在密钥保管库中查看机密
先决条件
若要使用服务连接器创建服务连接并将机密存储在密钥保管库中,需要:
- 有关使用服务连接器的基本知识
- 具有活动订阅的 Azure 帐户。 免费创建帐户。
- 托管在应用服务上的应用。 如果你还没有这样的应用,请创建一个应用并将其部署到应用服务
- 一个 Azure Key Vault。 如果你还没有 Azure 密钥保管库,请创建 Azure 密钥保管库
- 服务连接器支持的另一个目标服务实例。 在本教程中,会使用 Azure Blob 存储
- 对应用服务、密钥保管库和目标服务的读取和写入访问权限。
在应用服务中创建密钥保管库连接
若要将连接访问密钥和机密存储在密钥保管库中,请先将应用服务连接到密钥保管库。
在 Azure 门户中,在搜索菜单中键入“应用服务”,并从列表中选择要使用的应用服务的名称。
从左侧目录中,选择“服务连接器”。 然后选择“创建”。
选择或输入以下设置。
设置 建议值 说明 服务类型 Key Vault 目标服务类型。 如果没有密钥保管库,请创建一个。 订阅 你的某个订阅。 部署了目标服务的订阅。 目标服务是要连接到的服务。 默认值是为应用服务列出的订阅。 连接名称 生成的唯一名称 用于标识应用服务与目标服务之间的连接的连接名称 密钥保管库名称 你的密钥保管库名称 要连接到的目标密钥保管库。 客户端类型 此应用服务上的相同应用堆栈 与所选目标服务配合工作的应用程序堆栈。 默认值来自应用服务运行时堆栈。 选择“下一步: 身份验证”,以选择身份验证类型。 然后选择系统分配的托管标识以连接密钥保管库。
选择“下一步: 网络”以选择网络配置。 然后选择“启用防火墙设置”以更新密钥保管库中的防火墙允许列表,从而使应用服务可以访问密钥保管库。
然后选择“下一步: 查看 + 创建”,以查看提供的信息。 选择“创建”,以创建服务连接。 完成该操作可能需要 1 分钟。
在应用服务中创建 Blob 存储连接,并将访问密钥存储到密钥保管库
现在,可以在使用连接字符串/访问密钥或服务主体进行身份验证时,创建与另一个目标服务的服务连接,并将访问密钥直接存储在连接的密钥保管库中。 我们会将 Blob 存储用于以下示例。 对于其他目标服务,也需遵循相同的过程。
在 Azure 门户中,在搜索菜单中键入“应用服务”,并从列表中选择要使用的应用服务的名称。
从左侧目录中,选择“服务连接器”。 然后选择“创建”。
选择或输入以下设置。
设置 建议值 说明 服务类型 Blob 存储 目标服务类型。 如果你没有存储 Blob 容器,可以创建一个,或使用其他服务类型。 订阅 你的某个订阅 部署了目标服务的订阅。 目标服务是要连接到的服务。 默认值是为应用服务列出的订阅。 连接名称 生成的唯一名称 用于标识应用服务与目标服务之间的连接的连接名称。 存储帐户 你的存储帐户 要连接到的目标存储帐户。 如果选择其他服务类型,请选择相应的目标服务实例。 客户端类型 此应用服务上的相同应用堆栈 与所选目标服务配合工作的应用程序堆栈。 默认值来自应用服务运行时堆栈。 设置身份验证
选择“下一步: 网络”和“启用防火墙设置”以更新密钥保管库中的防火墙允许列表,以便应用服务可以访问密钥保管库。
然后选择“下一步: 查看 + 创建”,以查看提供的信息。
选择“创建”,以创建服务连接。 完成该操作最多可能需要 1 分钟。
在密钥保管库中查看配置
展开 Blob 存储连接,选择“隐藏值。单击可显示值”。 可以看到该值是一个密钥保管库引用。
在密钥保管库连接的“服务类型”列中选择“密钥保管库”。 将会重定向到密钥保管库门户页面。
在密钥保管库左侧目录中选择“机密”,然后选择 Blob 存储机密名称。
提示
无权列出机密? 请参阅《排除 Azure Key Vault 的故障》。
从“当前版本”列表中选择版本 ID。
选择“显示机密值”以获取此 Blob 存储连接的连接字符串。
清理资源
不再需要时,请删除为此教程创建的资源组及所有相关资源。 为此,请选择你创建的资源组或单个资源,然后选择“删除”。