Chính sách truy cập keyvault CLI
Azure Key Vault là một cách tuyệt vời để bảo vệ bí mật của bạn nhưng trong khi bạn đang làm việc trên các mẫu ARM để triển khai môi trường của mình, thỉnh thoảng bạn sẽ cần quyền truy cập vào Key Vault để xác minh nội dung của nó hoặc thiết lập các bí mật mới Show
Thêm một chính sách trong Azure PortalĐiều này đủ dễ dàng khi bạn có quyền truy cập Azure Active Directory; . Tuy nhiên, đôi khi bạn phải làm việc trong những điều kiện khắt khe hơn khi không được phép truy cập AAD. Cổng Azure thậm chí sẽ không cho phép bạn chọn tài khoản của riêng mình Không có quyền truy cập vào AAD có nghĩa là không có chính sách mới trong Azure PortalKhông có quyền truy cập vào AAD có nghĩa là không có chính sách mới trong Azure Portal Hộp thoại lựa chọn chính sẽ hiển thị cho bạn một lỗi như
Thêm chính sách thông qua Azure CLIBạn vẫn có thể cấp cho mình quyền truy cập bằng Azure CLI
là các chi tiết đầy đủ về lệnh đó Khi bạn không có quyền truy cập vào Azure AD, bạn cũng sẽ gặp một chút khó khăn khi tìm id đối tượng cho tài khoản (khách) của mình. May mắn thay, bạn cũng có thể tìm thấy id đó bằng Azure CLI
Đảm bảo rằng bạn đã đăng nhập bằng đăng nhập az và chọn đăng ký Azure phù hợp bằng cách sử dụng bộ tài khoản az Azure Key Vault giúp các nhóm lưu trữ và quản lý an toàn thông tin nhạy cảm như khóa, mật khẩu, chứng chỉ, v.v. , trong một bộ lưu trữ tập trung được bảo vệ bằng các thuật toán tiêu chuẩn ngành, độ dài khóa và thậm chí cả các mô-đun bảo mật phần cứng. Điều này ngăn chặn việc tiết lộ thông tin thông qua mã nguồn, một lỗi phổ biến mà nhiều nhà phát triển mắc phải. Nhiều nhà phát triển để lại các chi tiết bí mật như chuỗi kết nối cơ sở dữ liệu, mật khẩu, khóa riêng, v.v. , trong mã nguồn của họ mà khi bị người dùng ác ý lấy được có thể dẫn đến hậu quả không mong muốn. Quyền truy cập vào kho lưu trữ khóa yêu cầu xác thực và ủy quyền thích hợp và với RBAC, các nhóm thậm chí có thể kiểm soát chi tiết ai có quyền gì đối với dữ liệu nhạy cảm Những gì được bảo hiểm trong phòng thí nghiệm nàyTrong phòng thí nghiệm này, bạn sẽ thấy cách bạn có thể sử dụng Azure Key Vault trong quy trình bán hàng
Trước khi bắt đầu
Nhiệm vụ 1. Tạo hiệu trưởng dịch vụBạn sẽ cần một dịch vụ chính để triển khai một ứng dụng cho tài nguyên Azure từ Azure Pipelines. Vì chúng tôi sẽ truy xuất các bí mật trong một đường dẫn, nên chúng tôi sẽ cần cấp quyền cho dịch vụ khi chúng tôi tạo kho lưu trữ khóa Nguyên tắc dịch vụ được Azure Pipeline tự động tạo khi bạn kết nối với đăng ký Azure từ bên trong định nghĩa đường ống hoặc khi bạn tạo kết nối dịch vụ mới từ trang cài đặt dự án. Bạn cũng có thể tự tạo dịch vụ chính từ cổng thông tin hoặc sử dụng Azure CLI và sử dụng lại nó trong các dự án. Bạn nên sử dụng hiệu trưởng dịch vụ hiện có khi muốn có một bộ quyền được xác định trước Chúng tôi sẽ tạo thủ công bằng cách sử dụng Azure CLI. Nếu bạn đã có hiệu trưởng dịch vụ, bạn có thể bỏ qua nhiệm vụ này
Nhiệm vụ 2. Tạo kho khóaTiếp theo, chúng ta sẽ tạo một key vault trong Azure. Đối với kịch bản phòng thí nghiệm này, chúng tôi có một ứng dụng nút kết nối với cơ sở dữ liệu MySQL nơi chúng tôi sẽ lưu trữ mật khẩu cho cơ sở dữ liệu MySQL dưới dạng bí mật trong kho khóa
nhiệm vụ 3. Kiểm tra đường ống AzureBây giờ, hãy chuyển đến dự án Azure DevOps mà bạn đã cung cấp bằng cách sử dụng Trình tạo bản demo Azure DevOps và định cấu hình Azure Pipelines để đọc bí mật từ kho lưu trữ khóa
Ghi chú. Bạn có thể thắc mắc rằng chúng tôi có thể đã chuyển giá trị dưới dạng một biến nhiệm vụ bí mật trong Azure Pipelines. Mặc dù điều đó là có thể, nhưng các biến tác vụ dành riêng cho một đường dẫn và không thể được sử dụng bên ngoài định nghĩa mà nó được tạo. Ngoài ra, trong hầu hết các trường hợp, các bí mật như thế này được xác định bởi Người vận hành, những người có thể không muốn đặt bí mật này cho mọi đường ống Thử thách tập thể dụcHãy thử tạo một bí mật mới để lưu trữ tên người dùng cho Cơ sở dữ liệu MySQL và thay đổi đường dẫn để tìm nạp và sử dụng bí mật Làm cách nào để thêm chính sách truy cập trong Azure Key Vault bằng PowerShell?Các lệnh ghép ngắn PowerShell
. Get-AzADGroup Lọc các nhóm thư mục hoạt động. Set-AzKeyVaultAccessPolicy Cấp hoặc sửa đổi các quyền hiện có cho người dùng, ứng dụng hoặc nhóm bảo mật để thực hiện các thao tác với kho khóa.
Lệnh Azure CLI nào được sử dụng để cấp quyền truy cập vào vault?Để cho phép ứng dụng truy cập khóa hoặc bí mật trong vault, hãy sử dụng lệnh az keyvault set-policy .
Làm cách nào để truy cập Azure Key Vault trong C#?Sử dụng các bước sau để đọc bí mật được lưu trữ trong phiên bản Azure Key Vault. . Tạo một ứng dụng web trong Azure Portal Bật Nhận dạng dịch vụ được quản lý cho Ứng dụng web của bạn Tạo và định cấu hình Azure Key Vault. . Tạo một ASP mới. NET 5 Core ứng dụng. . Triển khai Ứng dụng lên Azure Thực hiện ứng dụng Những quyền bí mật nào nên được sử dụng trong kho khóa Azure?Để cấp quyền truy cập ứng dụng để sử dụng khóa trong kho khóa, bạn cấp quyền truy cập mặt phẳng dữ liệu bằng cách sử dụng Azure RBAC hoặc chính sách truy cập Kho khóa. Để cấp cho người dùng quyền truy cập đọc vào các thuộc tính và thẻ của Key Vault, nhưng không có quyền truy cập vào dữ liệu (khóa, bí mật hoặc chứng chỉ), bạn cấp quyền truy cập mặt phẳng quản lý bằng Azure RBAC |