摘要

已完成

在此課程模組中，您已在 Azure Key Vault 中保護應用程式的祕密設定。 我們的應用程式程式碼會在啟動時，使用受控身分識別驗證保存庫，並自動將保存庫中的密碼載入記憶體。

清理

當您完成此課程模組時，沙箱會自動清除您的資源。

如果您是在自己的訂用帳戶中進行，建議您在專案結束時判斷自己是否仍需要先前所建立的資源。 若您繼續執行資源，則可能會產生費用。 您可以個別刪除資源，或刪除資源群組以刪除整組資源。

若要清除您的 Cloud Shell 儲存體，請刪除 KeyVaultDemoApp 目錄。

下一步

如果此應用程式是實際的應用程式，接下來會發生什麼情況？

• 將您的所有應用程式祕密置於保存庫中！ 已經沒有理由將其放在設定檔中。
• 繼續開發應用程式。 您的生產環境已全部設定完畢，因此，在未來的部署中，您不需要重複執行所有的設定。
• 若要支援開發，請建立開發環境保存庫，其中包含名稱相同但值不同的祕密。 將權限授與開發小組，並在應用程式的開發環境設定檔中設定保存庫名稱。 設定取決於您的實作：針對 ASP.NET Core，AddAzureKeyVault 會自動偵測 Visual Studio 與 Azure CLI 的本機安裝，並使用那些應用程式中設定的 Azure 認證以登入及存取保存庫。 針對 Node.js，您可以使用保存庫的權限建立開發環境服務原則，並讓應用程式使用 loginWithServicePrincipalSecret 來驗證。
• 基於使用者接受度測試等目的，建立更多環境。
• 跨不同訂用帳戶和資源群組分隔保存庫，以將其隔離。
• 將其他環境保存庫的存取權授與適當的人員。

進一步閱讀

• 金鑰保存庫文件
• 深入了解 AddAzureKeyVault 及其進階選項
• 本教學課程會逐步解說如何使用 Key Vault SecretClient，包括使用用戶端祕密 (而不是使用受控識別) 以向 Microsoft Entra ID 手動驗證。
• Azure 資源權杖服務文件的受控身分識別，用於自行執行驗證工作流程。

檢定您的知識

1.

以下何者不是 Azure Key Vault 的優點？

安全儲存私密的使用者資訊。

同步處理多個應用程式執行個體之間的應用程式祕密。

降低應用程式開發人員直接處理應用程式密碼的需求。

使用可指派的權限控制對應用程式密碼的存取。

2.

以下哪一個敘述最能描述 Azure Key Vault 的驗證和授權程序？

應用程式會使用主要開發人員的使用者名稱與密碼，向保存庫進行驗證，而且對保存庫中的所有祕密擁有完整存取權。

應用程式與使用者會使用 Microsoft 帳戶向保存庫進行驗證，而且會獲授權存取特定的祕密。

應用程式與使用者會使用其 Microsoft Entra 身分識別向保存庫進行驗證，而且會獲授權以針對保存庫中的所有祕密執行動作。

應用程式會使用登入 Web 應用程式之使用者的使用者名稱與密碼，向保存庫進行驗證，而且會獲准存取該使用者所擁有的祕密。

3.

Azure Key Vault 如何在應用程式載入祕密之後協助保護這些祕密？

Azure Key Vault 會在每次使用後自動產生新的祕密。

Azure Key Vault 用戶端程式庫可保護應用程式所使用的記憶體區域以防止不小心洩漏祕密。

Azure Key Vault 會對祕密進行雙重加密，需要您的應用程式在每次使用祕密，都在本地將其解密。

它不會保護您的祕密。 應用程式載入祕密之後，祕密就不會受到保護。

您必須先回答所有問題，才能檢查進度。