你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速入门:连接 Azure 服务和在 Azure Key Vault 中存储机密

Azure Key Vault 是一项云服务,它为机密提供了安全的存储。 可以安全地存储密钥、密码、证书和其他机密。 创建服务连接时,可以安全地将访问密钥和机密存储在连接的密钥保管库中。 在本教程中,你会使用 Azure 门户完成以下任务。 以下过程介绍了这两种方法。

  • 在 Azure 应用服务中创建与 Azure 密钥保管库的服务连接
  • 创建与 Azure Blob 存储的服务连接并将机密存储在密钥保管库中
  • 在密钥保管库中查看机密

先决条件

若要使用服务连接器创建服务连接并将机密存储在密钥保管库中,需要:

在应用服务中创建密钥保管库连接

若要将连接访问密钥和机密存储在密钥保管库中,请先将应用服务连接到密钥保管库。

  1. 在 Azure 门户中,在搜索菜单中键入“应用服务”,并从列表中选择要使用的应用服务的名称。

  2. 从左侧目录中,选择“服务连接器”。 然后选择“创建”。

  3. 选择或输入以下设置。

    设置 建议值 说明
    服务类型 Key Vault 目标服务类型。 如果没有密钥保管库,请创建一个
    订阅 你的某个订阅。 部署了目标服务的订阅。 目标服务是要连接到的服务。 默认值是为应用服务列出的订阅。
    连接名称 生成的唯一名称 用于标识应用服务与目标服务之间的连接的连接名称
    密钥保管库名称 你的密钥保管库名称 要连接到的目标密钥保管库。
    客户端类型 此应用服务上的相同应用堆栈 与所选目标服务配合工作的应用程序堆栈。 默认值来自应用服务运行时堆栈。
  4. 选择“下一步: 身份验证”,以选择身份验证类型。 然后选择系统分配的托管标识以连接密钥保管库。

  5. 选择“下一步: 网络”以选择网络配置。 然后选择“启用防火墙设置”以更新密钥保管库中的防火墙允许列表,从而使应用服务可以访问密钥保管库。

  6. 然后选择“下一步: 查看 + 创建”,以查看提供的信息。 选择“创建”,以创建服务连接。 完成该操作可能需要 1 分钟。

在应用服务中创建 Blob 存储连接,并将访问密钥存储到密钥保管库

现在,可以在使用连接字符串/访问密钥或服务主体进行身份验证时,创建与另一个目标服务的服务连接,并将访问密钥直接存储在连接的密钥保管库中。 我们会将 Blob 存储用于以下示例。 对于其他目标服务,也需遵循相同的过程。

  1. 在 Azure 门户中,在搜索菜单中键入“应用服务”,并从列表中选择要使用的应用服务的名称。

  2. 从左侧目录中,选择“服务连接器”。 然后选择“创建”。

  3. 选择或输入以下设置。

    设置 建议值 说明
    服务类型 Blob 存储 目标服务类型。 如果你没有存储 Blob 容器,可以创建一个,或使用其他服务类型。
    订阅 你的某个订阅 部署了目标服务的订阅。 目标服务是要连接到的服务。 默认值是为应用服务列出的订阅。
    连接名称 生成的唯一名称 用于标识应用服务与目标服务之间的连接的连接名称。
    存储帐户 你的存储帐户 要连接到的目标存储帐户。 如果选择其他服务类型,请选择相应的目标服务实例。
    客户端类型 此应用服务上的相同应用堆栈 与所选目标服务配合工作的应用程序堆栈。 默认值来自应用服务运行时堆栈。
  4. 设置身份验证

    重要

    Microsoft 建议使用最安全的可用身份验证流。 本过程中介绍的身份验证流程需要非常高的信任度,并携带其他流中不存在的风险。 请仅在无法使用其他更安全的流(例如托管标识)时才使用此流。

    选择“下一步: 身份验证”以选择身份验证类型,然后选择“连接字符串”以使用访问密钥连接存储帐户。

    设置 建议值 说明
    将密钥存储到密钥保管库 勾选标记 此选项让服务连接器将连接字符串/访问密钥存储在密钥保管库中。
    密钥保管库连接 密钥保管库连接之一 选择要在其中存储连接字符串/访问密钥的密钥保管库。
  5. 选择“下一步: 网络”和“启用防火墙设置”以更新密钥保管库中的防火墙允许列表,以便应用服务可以访问密钥保管库

  6. 然后选择“下一步: 查看 + 创建”,以查看提供的信息。

  7. 选择“创建”,以创建服务连接。 完成该操作最多可能需要 1 分钟。

在密钥保管库中查看配置

  1. 展开 Blob 存储连接,选择“隐藏值。单击可显示值”。 可以看到该值是一个密钥保管库引用。

  2. 在密钥保管库连接的“服务类型”列中选择“密钥保管库”。 将会重定向到密钥保管库门户页面。

  3. 在密钥保管库左侧目录中选择“机密”,然后选择 Blob 存储机密名称。

    提示

    无权列出机密? 请参阅《排除 Azure Key Vault 的故障》。

  4. 从“当前版本”列表中选择版本 ID。

  5. 选择“显示机密值”以获取此 Blob 存储连接的连接字符串

清理资源

不再需要时,请删除为此教程创建的资源组及所有相关资源。 为此,请选择你创建的资源组或单个资源,然后选择“删除”。

后续步骤