Sdílet prostřednictvím

Kurz: Použití odkazů služby Key Vault v aplikaci ASP.NET Core

V tomto kurzu použijete službu Azure App Configuration společně se službou Azure Key Vault. Konfigurace aplikací a služba Key Vault jsou doplňkové služby používané vedle sebe ve většině nasazení aplikací.

Vaše aplikace může pomocí zprostředkovatele klienta App Configuration načíst odkazy na Key Vault stejně jako všechny ostatní klíče uložené v App Configuration. Když přidáte odkaz služby Key Vault na konfiguraci aplikace, vytvoří konfigurace aplikace klíč, který odkazuje na hodnotu uloženou ve službě Key Vault. Hodnota, kterou služba App Configuration ukládá, není hodnotou služby Key Vault ani přihlašovacími údaji. Místo toho se jedná o identifikátor URI, který odkazuje na hodnotu ve službě Key Vault. Vzhledem k tomu, že zprostředkovatel klienta rozpozná klíč jako odkaz služby Key Vault, použije k načtení jeho hodnoty službu Key Vault.

Vaše aplikace zodpovídá za správné ověřování ve službě App Configuration i Key Vault. Dvě služby nekomunikují přímo.

V tomto kurzu se dozvíte, jak implementovat odkazy služby Key Vault do kódu. Vychází z webové aplikace představené v rychlém startu pro ASP.NET Core uvedené v požadavcích. Než budete pokračovat, dokončete tento úvod.

Kroky v tomto kurzu můžete provést pomocí libovolného editoru kódu. Visual Studio Code je například editor kódu pro různé platformy, který je k dispozici pro operační systémy Windows, macOS a Linux.

V tomto kurzu se naučíte:

  • Vytvořte klíč služby App Configuration, který odkazuje na hodnotu uloženou ve službě Key Vault.
  • Přístup k hodnotě tohoto klíče z webové aplikace ASP.NET Core

Požadavky

Dokončete rychlý návod k vytvoření aplikace ASP.NET Core s App Configuration.

Vytvořte trezor klíčů.

  1. Přejděte na Azure portal a pak vyberte Vytvořit prostředek.

    Snímek obrazovky webu Azure Portal V části Služby Azure se zvýrazní možnost Vytvořit prostředek a zobrazí se ikony pro několik typů prostředků.

  2. Do vyhledávacího pole zadejte Key Vault. V seznamu výsledků vyberte Key Vault.

  3. Na stránce Služby Key Vault vyberte Vytvořit.

  4. Na stránce Vytvořit trezor klíčů zadejte následující informace:

    • Pro předplatné: Vyberte předplatné.
    • Pro skupinu prostředků: Zadejte název existující skupiny prostředků nebo vyberte Vytvořit novou a zadejte název skupiny prostředků.
    • Jako název trezoru klíčů zadejte jedinečný název.
    • Pro oblast: Vyberte umístění.

  5. Pro ostatní možnosti použijte výchozí hodnoty.

  6. Vyberte možnost Zkontrolovat a vytvořit.

  7. Jakmile systém ověří a zobrazí vaše vstupy, vyberte Vytvořit.

V tuto chvíli je váš účet Azure jediným autorizovaným přístupem k tomuto novému trezoru.

Přidání tajného klíče do služby Key Vault

Pokud chcete otestovat načtení služby Key Vault ve vaší aplikaci, nejprve přidejte do trezoru tajný kód pomocí následujícího postupu. Tajný kód, který přidáte, se nazývá Zpráva a její hodnota je "Hello from Key Vault".

  1. V nabídce prostředků služby Key Vault vyberte Objekty>Tajné klíče.

  2. Vyberte Generovat/importovat.

  3. V dialogovém okně Vytvořit tajný kód zadejte následující hodnoty:

    • Možnosti pro nahrání: Zadejte Manuál.
    • Název: Zadejte zprávu.
    • Hodnota Tajného kódu: Zadejte Hello ze služby Key Vault.

  4. Pro ostatní možnosti použijte výchozí hodnoty.

  5. Vyberte Vytvořit.

Přidání odkazu služby Key Vault do konfigurace aplikace

  1. Přihlaste se k portálu Azure. Vyberte Všechny prostředky a poté vyberte obchod App Configuration, který jste vytvořili v rámci rychlého startu.

  2. Vyberte Průzkumníka konfigurace.

  3. Vyberte Vytvořit>odkaz na Key Vault a zadejte následující hodnoty:

    • Pro klíč: Zadejte TestApp:Settings:KeyVaultMessage.
    • Popisek: Ponechte hodnotu prázdnou.
    • V případě předplatného, skupiny prostředků a služby Key Vault: Zadejte hodnoty, které použijete při vytváření trezoru klíčů dříve v tomto kurzu.
    • Tajný kód: Vyberte tajný kód s názvem Zpráva, kterou vytvoříte v předchozí části.

    Snímek obrazovky s dialogovým oknem pro vytvoření odkazu služby Key Vault Vyplní se pole Klíč, Předplatné, Skupina prostředků, Trezor klíčů a Tajný kód.

Aktualizace kódu tak, aby používal referenční informace ke službě Key Vault

  1. Přejděte do složky, která obsahuje projekt webové aplikace ASP.NET Core, který jste vytvořili v rychlém startu.

  2. Na příkazovém řádku spusťte následující příkaz. Tento příkaz přidá odkaz na Azure.Identity balíček NuGet do souboru projektu nebo ho aktualizuje.

    dotnet add package Azure.Identity

  3. Otevřete soubor Program.cs. V sekci direktiv přidejte následující řádek pro importování typů z oboru názvů Azure.Identity.

    using Azure.Identity;

  4. V Program.cs nahraďte volání AddAzureAppConfiguration metody voláním v následujícím kódu. Aktualizovaný hovor obsahuje ConfigureKeyVault možnost. Tato možnost používá metodu SetCredential k předání přihlašovacích údajů potřebných k ověření ve vašem trezoru klíčů.

    var builder = WebApplication.CreateBuilder(args);

// Retrieve the App Configuration endpoint.
string endpoint = builder.Configuration.GetValue<string>("Endpoints:AppConfiguration")

// Load the configuration from App Configuration.
builder.Configuration.AddAzureAppConfiguration(options =>
{
    options.Connect(new Uri(endpoint), new DefaultAzureCredential());

    options.ConfigureKeyVault(keyVaultOptions =>
    {
        keyVaultOptions.SetCredential(new DefaultAzureCredential());
    });
});

    Tip

    Pokud máte více trezorů klíčů, systém pro všechny používá stejné přihlašovací údaje. Pokud trezory klíčů vyžadují jiné přihlašovací údaje, můžete je nastavit pomocí Register metod nebo SetSecretResolver metod AzureAppConfigurationKeyVaultOptions třídy.

  5. Pokud chcete získat přístup k hodnotám odkazů služby Key Vault v kódu, přejděte do složky Pages v projektu. Otevřete Soubor Index.cshtml a nahraďte jeho obsah následujícím kódem. Kód v předchozím bloku inicializuje připojení konfigurace aplikace a nastaví připojení ke službě Key Vault. V důsledku toho můžete v souboru Index.cshtml přistupovat k hodnotám služby Key Vault stejným způsobem, jakým přistupujete k hodnotám běžných klíčů konfigurace aplikací.

    @page
@using Microsoft.Extensions.Configuration
@inject IConfiguration Configuration

<style>
    body {
        background-color: @Configuration["TestApp:Settings:BackgroundColor"]
    }
    h1 {
        color: @Configuration["TestApp:Settings:FontColor"];
        font-size: @Configuration["TestApp:Settings:FontSize"]px;
    }
</style>

<h1>@Configuration["TestApp:Settings:Message"]
    and @Configuration["TestApp:Settings:KeyVaultMessage"]</h1>

    Tento kód přistupuje k hodnotě odkazu TestApp:Settings:KeyVaultMessage služby Key Vault stejným způsobem, jakým přistupuje ke konfigurační hodnotě TestApp:Settings:Message.

Udělení přístupu aplikace ke službě Key Vault

App Configuration nemá přístup k vašemu trezoru klíčů. Místo toho aplikace čte ze služby Key Vault přímo, takže musíte aplikaci udělit přístup k tajným kódům ve vašem trezoru klíčů. Tímto způsobem zůstanou tajné kódy vždy ve vaší aplikaci. K udělení přístupu můžete použít zásady přístupu ke službě Key Vault nebo řízení přístupu na základě role v Azure .

Kód v tomto kurzu používá DefaultAzureCredential třídu pro ověřování. Tato agregovaná pověření tokenu se automaticky pokusí o několik typů přihlašovacích údajů, jako jsou EnvironmentCredential, ManagedIdentityCredential, SharedTokenCacheCredentiala VisualStudioCredential. Další informace naleznete v tématu DefaultAzureCredential Třída.

Můžete nahradit DefaultAzureCredential libovolným explicitním typem přihlašovacích údajů. Když ale použijete DefaultAzureCredential, může se váš kód spouštět v místních prostředích a prostředích Azure. Například když vaše aplikace běží v Azure, DefaultAzureCredential použije ManagedIdentityCredential. Ale když používáte Visual Studio pro místní vývoj, DefaultAzureCredential automaticky se vrátí zpět do SharedTokenCacheCredential nebo VisualStudioCredential.

Alternativně můžete nastavit AZURE_TENANT_IDproměnné , AZURE_CLIENT_IDa AZURE_CLIENT_SECRET prostředí. Když to uděláte, DefaultAzureCredential použije tyto proměnné a poté se EnvironmentCredential autentizuje s vaším úložištěm klíčů.

Po nasazení aplikace do služby Azure s povolenou spravovanou identitou, jako je Azure App Service, Azure Kubernetes Service nebo Azure Container Instance, udělíte spravovanou identitu služby Azure oprávnění pro přístup k trezoru klíčů. DefaultAzureCredential automaticky se používá ManagedIdentityCredential , když je vaše aplikace spuštěná v Azure. Stejnou spravovanou identitu můžete použít k ověření pomocí konfigurace aplikace i služby Key Vault. Další informace najdete v tématu Použití spravovaných identit pro přístup ke službě App Configuration.

Sestavení a místní spuštění aplikace

  1. Pokud chcete aplikaci sestavit pomocí rozhraní příkazového řádku .NET CLI, spusťte na příkazovém řádku následující příkaz:

    dotnet build

  2. Po dokončení sestavení spusťte webovou aplikaci místně pomocí následujícího příkazu:

    dotnet run

  3. Ve výstupu dotnet run příkazu najděte adresu URL, na které webová aplikace naslouchá, například http://localhost:5292. Otevřete prohlížeč a přejděte na danou adresu URL.

    Snímek obrazovky prohlížeče otevřeného pro localhost:5292 Text na stránce uvádí data ze služby Azure App Configuration a Hello ze služby Key Vault.

    Text na webové stránce obsahuje následující součásti:

    • Hodnota přidružená ke klíči TestApp:Settings:Message v úložišti konfigurace aplikace
    • Hodnota tajného kódu zprávy uloženého v trezoru klíčů

Vyčištění prostředků

Pokud nechcete dál používat prostředky vytvořené v tomto článku, odstraňte skupinu prostředků, kterou jste tady vytvořili, abyste se vyhnuli poplatkům.

Důležité

Odstranění skupiny prostředků je nevratné. Skupina prostředků a všechny prostředky v ní se trvale odstraní. Ujistěte se, že omylem neodstraníte nesprávnou skupinu prostředků nebo prostředky. Pokud jste vytvořili prostředky pro tento článek ve skupině prostředků, která obsahuje další prostředky, které chcete zachovat, odstraňte jednotlivé prostředky z příslušného podokna místo odstranění skupiny prostředků.

  1. Přihlaste se k webu Azure Portal a vyberte skupiny prostředků.
  2. Do pole Filtrovat podle názvu zadejte název vaší skupiny prostředků.
  3. V seznamu výsledků vyberte název skupiny prostředků, abyste zobrazili přehled.
  4. Vyberte Odstranit skupinu prostředků.
  5. Zobrazí se výzva k potvrzení odstranění skupiny prostředků. Potvrďte název skupiny prostředků a vyberte Odstranit.

Po chvíli se skupina prostředků a všechny její prostředky odstraní.

Další kroky

Automatické načítání tajných kódů a certifikátů ze služby Key Vault

Zjednodušení přístupu ke službě App Configuration a Key Vault pomocí spravovaných identit

  • Last updated on