Azure 应用程序配置、 key 保管库和托管服务身份 (.NET Core 3.1)

标签 azure azure-web-app-service azure-keyvault azure-app-configuration

我设置了一个简单的应用服务来使用/测试 Azure 应用配置

  • Azure 应用程序配置包含 2 个非 KeyVault 条目和 1 个 Key Vault 引用条目
  • Key Vault 设置了正确的访问策略,允许获取/列出 Azure 应用程序配置的托管服务身份的 secret

我已关注sample application ,所以 CreateHostBuilder 看起来像:

public static IHostBuilder CreateHostBuilder(string[] args) =>
Host.CreateDefaultBuilder(args)
.ConfigureWebHostDefaults(webBuilder =>
webBuilder.ConfigureAppConfiguration((hostingContext, config) =>
{
    var settings = config.Build();
    config.AddAzureAppConfiguration(settings["ConnectionStrings:AppConfig"]);
})
.UseStartup<Startup>());

部署/运行应用程序时,如果没有指向 KeyVault 的 Azure 应用程序配置条目,则该行为成功。

当我在 Azure 应用程序配置中添加指向 KeyVault 的条目时,应用程序将无法启动(HTTP 错误 500.30 - ANCM 进程内启动失败),日志显示此异常:

异常信息:Microsoft.Extensions.Configuration.AzureAppConfiguration.KeyVaultReferenceException:未配置 key 保管库凭据,找不到匹配的 secret 客户端。错误代码:, key :TestConnectionString,标签:,Etag:6ezsqW96CsAet7Ym5H4DedsLTkI,SecretIdentifier: https://testkeyvault.vault.azure.net/secrets/TestSecret ---> System.UnauthorizedAccessException:未配置 key 保管库凭据,并且找不到匹配的 secret 客户端。

很明显,有些东西没有得到正确的保护,但我已经检查了很多次,Key Vault 有一个访问策略,向 Azure 应用程序配置身份授予获取/ secret 列表。

我还尝试了主机构建器中的ConfigureKeyVault选项,即

public static IHostBuilder CreateHostBuilder(string[] args) =>
    Host.CreateDefaultBuilder(args)
    .ConfigureWebHostDefaults(webBuilder =>
    webBuilder.ConfigureAppConfiguration((hostingContext, config) =>
    {
        var settings = config.Build();

        config.AddAzureAppConfiguration(options =>
        {
            options.Connect(settings["ConnectionStrings:AppConfig"])
                    .ConfigureKeyVault(kv =>
                    {
                        kv.SetCredential(new DefaultAzureCredential());
                    });
        });
    })
    .UseStartup<Startup>());

Key Vault 上的访问策略向 Azure 应用程序配置身份授予“获取/ secret 列表”是否是所有需要完成的操作,还是我错过了某些内容? (我也尝试过向应用服务授予访问策略,但没有成功)。

最佳答案

对于 Key Vault 引用,应用程序需要设置对应用程序配置和 Key Vault 的身份验证。这两个服务不直接通信,因此应用程序配置不需要对 Key Vault 的任何访问权限。使用 ConfigureKeyVault 的代码片段是正确的。它指定用于对 Key Vault 进行身份验证的 DefaultAzureCredential,以便解析 Key Vault 引用。

为了允许 Azure 应用服务中托管的应用程序能够访问 Key Vault 中的 secret ,您可以在应用服务上启用托管标识,并在 Key Vault 中授予其 GET 和 LIST 权限。

对于开发环境,these指令可用于创建服务主体、授予权限并设置 DefaultAzureCredential 使用的适当环境变量。

关于Azure 应用程序配置、 key 保管库和托管服务身份 (.NET Core 3.1),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61764040/

上一篇:azure - 无法从门户创建存储帐户 : name already taken

下一篇:git - Azure DevOps 构建中出现 "No url found for submodule path in .gitmodules"错误

相关文章:

azure - kubectl get pods 命令显示 "ErrImageNeverPull"

symfony - 在我的 Azure 应用程序上找不到 PDF 404

c# - 此外,使用现有身份验证密码保护作为 Azure WebApp 托管的 ASP.NET Core MVC 网站

python - Azure AKS/容器应用程序无法使用托管标识访问 key 保管库

azure-keyvault - 有没有办法恢复或提升旧版本的 secret ?

visual-studio - Visual Studio 中的 .NET Core 3.1 Docker 访问 Azure Key Vault

azure - 如何在Azure数据仓库中设计维度和事实表?

azure - 是否可以在 Azure DevOps 代理池中的所有现有代理之间分散管道负载?

powershell - 使用 Powershell RM 列出 Azure 应用服务的实例

Azure WebApp 位置在部署后自行更改 - 有修复吗?

©2024 IT工具网  联系我们