Správa tajných kódů v Azure Container Apps

Azure Container Apps umožňuje vaší aplikaci zabezpečeně ukládat citlivé hodnoty konfigurace. Jakmile jsou tajné kódy definované na úrovni aplikace, jsou zabezpečené hodnoty k dispozici pro revize v aplikacích kontejnerů. Kromě toho můžete odkazovat na zabezpečené hodnoty uvnitř pravidel škálování. Informace o používání tajných kódů s Dapr najdete v integraci Dapr.

• Tajné klíče jsou omezené na aplikaci mimo konkrétní revizi aplikace.
• Přidání, odebrání nebo změna tajných kódů negeneruje nové revize.
• Každá revize aplikace může odkazovat na jeden nebo více tajných klíčů.
• Na stejné tajné klíče může odkazovat více revizí.

Aktualizovaný nebo odstraněný tajný klíč nemá automaticky vliv na existující revize ve vaší aplikaci. Při aktualizaci nebo odstranění tajného klíče můžete na změny reagovat dvěma způsoby:

1. Nasazení nové revize
2. Restartování stávající revize

Před odstraněním tajného klíče nasaďte novou revizi, která již na starý tajný klíč neodkazuje. Pak deaktivujte všechny revize, které odkazují na tajný klíč.

Definování tajných kódů

Tajné kódy jsou definovány jako sada párů název/hodnota. Hodnota každého tajného kódu se zadává přímo nebo jako odkaz na tajný klíč uložený ve službě Azure Key Vault.

Uložení hodnoty tajného kódu v Container Apps

Když definujete tajné kódy prostřednictvím portálu nebo prostřednictvím různých možností příkazového řádku.

Azure Portal

1. Přejděte do aplikace kontejneru na webu Azure Portal.

2. V části Nastavení vyberte Tajné kódy.

3. Vyberte Přidat.

4. V podokně Přidat kontext tajného kódu zadejte následující informace:

   • Název: Název tajného klíče.
   • Typ: Vyberte tajný klíč kontejnerových aplikací.
   • Hodnota: Hodnota tajného klíče.

5. Vyberte Přidat.

Šablona ARM

Tajné kódy jsou definovány na úrovni aplikace v oddílu resources.properties.configuration.secrets .

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "value": "<MY-CONNECTION-STRING-VALUE>"
            }],
        }
    }
}

V této části se v secrets poli deklaruje připojovací řetězec k účtu úložiště fronty. V tomto příkladu byste nahradili <MY-CONNECTION-STRING-VALUE> hodnotou připojovací řetězec.

Azure CLI

Při vytváření aplikace kontejneru se tajné kódy definují pomocí parametru --secrets .

• Parametr přijímá sadu párů name/value oddělených mezerami.
• Každý pár je oddělený symbolem rovná se (=).

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --secrets "queue-connection-string=<CONNECTION_STRING>"

V této části se v parametru --secrets deklaruje připojovací řetězec k účtu úložiště fronty. Nahraďte <CONNECTION_STRING> hodnotou připojovací řetězec.

PowerShell

Při vytváření aplikace kontejneru se tajné kódy definují jako jeden nebo více tajných objektů, které se předávají prostřednictvím parametru ConfigurationSecrets .

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id
$TemplateObj = New-AzContainerAppTemplateObject -Name queuereader -Image demos/queuereader:v1
$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString

$ContainerAppArgs = @{
    Name = 'my-resource-group'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

Tady se deklaruje připojovací řetězec k účtu úložiště fronty. Hodnota pro queue-connection-string pochází z proměnné prostředí s názvem $QueueConnectionString.

Referenční tajný klíč ze služby Key Vault

Když definujete tajný klíč, vytvoříte odkaz na tajný klíč uložený ve službě Azure Key Vault. Container Apps automaticky načte hodnotu tajného kódu ze služby Key Vault a zpřístupní ji jako tajný klíč v aplikaci kontejneru.

Pokud chcete odkazovat na tajný klíč ze služby Key Vault, musíte nejprve ve své aplikaci kontejneru povolit spravovanou identitu a udělit jí přístup k tajným klíčům služby Key Vault.

Pokud chcete ve své aplikaci kontejneru povolit spravovanou identitu, přečtěte si téma Spravované identity.

Pokud chcete udělit přístup k tajným kódům služby Key Vault, vytvořte ve službě Key Vault zásadu přístupu pro spravovanou identitu, kterou jste vytvořili. U této zásady povolte oprávnění k získání tajného kódu.

Azure Portal

1. Přejděte do aplikace kontejneru na webu Azure Portal.

2. V části Nastavení vyberte Identita.

3. Na kartě Přiřazený systém vyberte Zapnuto.

4. Výběrem možnosti Uložit povolíte spravovanou identitu přiřazenou systémem.

5. V části Nastavení vyberte Tajné kódy.

6. Vyberte Přidat.

7. V podokně Přidat kontext tajného kódu zadejte následující informace:

   • Název: Název tajného klíče.
   • Typ: Vyberte referenční informace ke službě Key Vault.
   • Adresa URL tajného klíče služby Key Vault: Identifikátor URI vašeho tajného klíče ve službě Key Vault.
   • Identita: Identita, která se má použít k načtení tajného kódu ze služby Key Vault.

8. Vyberte Přidat.

Šablona ARM

Tajné kódy jsou definovány na úrovni aplikace v oddílu resources.properties.configuration.secrets .

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "keyVaultUrl": "<KEY-VAULT-SECRET-URI>",
                "identity": "system"
            }],
        }
    }
}

V této části se v secrets poli deklaruje připojovací řetězec k účtu úložiště fronty. Jeho hodnota se automaticky načte ze služby Key Vault pomocí zadané identity. Pokud chcete použít identitu spravovanou uživatelem, nahraďte system ID prostředku identity.

Nahraďte <KEY-VAULT-SECRET-URI> identifikátorem URI vašeho tajného klíče ve službě Key Vault.

Azure CLI

Při vytváření aplikace kontejneru se tajné kódy definují pomocí parametru --secrets .

• Parametr přijímá sadu párů name/value oddělených mezerami.
• Každý pár je oddělený symbolem rovná se (=).
• Pokud chcete zadat odkaz služby Key Vault, použijte formát <SECRET_NAME>=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<MANAGED_IDENTITY_ID>. Například, queue-connection-string=keyvaultref:https://mykeyvault.vault.azure.net/secrets/queuereader,identityref:/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity.

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
  --secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>"

V této části se v parametru --secrets deklaruje připojovací řetězec k účtu úložiště fronty. Nahraďte <KEY_VAULT_SECRET_URI> identifikátorem URI vašeho tajného klíče ve službě Key Vault. Nahraďte <USER_ASSIGNED_IDENTITY_ID> ID prostředku identity přiřazené uživatelem. Pro identitu přiřazenou systémem použijte system místo ID prostředku.

Poznámka:

Identita přiřazená uživatelem musí mít přístup ke čtení tajného kódu ve službě Key Vault. Identitu přiřazenou systémem nejde použít s příkazem create, protože není k dispozici, dokud se aplikace kontejneru nevytvoří.

PowerShell

Odkazy služby Key Vault na tajné kódy nejsou v PowerShellu podporované.

Poznámka:

Pokud používáte trasu AzureKeyVault definovanou uživatelem se službou Azure Firewall, budete muset přidat značku služby a plně kvalifikovaný název domény login.microsoft.com do seznamu povolených pro vaši bránu firewall. Informace o konfiguraci trasy definované uživatelem pomocí služby Azure Firewall vám umožní rozhodnout se, které další značky služeb potřebujete.

Identifikátor URI a obměně tajných kódů služby Key Vault

Tajný identifikátor URI služby Key Vault musí být v jednom z následujících formátů:

• https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931: Odkazování na konkrétní verzi tajného kódu.
• https://myvault.vault.azure.net/secrets/mysecret: Odkaz na nejnovější verzi tajného kódu.

Pokud v identifikátoru URI není zadaná verze, aplikace použije nejnovější verzi, která existuje v trezoru klíčů. Jakmile budou k dispozici novější verze, aplikace automaticky načte nejnovější verzi do 30 minut. Všechny aktivní revize, které odkazují na tajný klíč v proměnné prostředí, se automaticky restartují, aby se vybrala nová hodnota.

Pro úplnou kontrolu nad verzí tajného kódu zadejte verzi v identifikátoru URI.

Odkazování na tajné kódy v proměnných prostředí

Po deklarování tajných kódů na úrovni aplikace, jak je popsáno v části definování tajných kódů , můžete je při vytváření nové revize v aplikaci kontejneru odkazovat v proměnných prostředí. Když proměnná prostředí odkazuje na tajný klíč, jeho hodnota se naplní hodnotou definovanou v tajném kódu.

Příklad

Následující příklad ukazuje aplikaci, která deklaruje připojovací řetězec na úrovni aplikace. Toto připojení se odkazuje v proměnné prostředí kontejneru a v pravidle škálování.

Azure Portal

Po definování tajného kódu v aplikaci kontejneru na něj můžete při vytváření nové revize odkazovat v proměnné prostředí.

1. Přejděte do aplikace kontejneru na webu Azure Portal.

2. Otevřete stránku Správy revizí.

3. Vyberte Vytvořit novou revizi.

4. Na stránce Vytvořit a nasadit novou revizi vyberte kontejner.

5. V části Proměnné prostředí vyberte Přidat.

6. Zadejte následující informace:

   • Název: Název proměnné prostředí.
   • Zdroj: Vyberte odkaz na tajný klíč.
   • Hodnota: Vyberte tajný klíč, na který chcete odkazovat.

7. Zvolte Uložit.

8. Výběrem možnosti Vytvořit vytvořte novou revizi.

Šablona ARM

V tomto příkladu je aplikace připojovací řetězec deklarována tak, jak queue-connection-string je dostupná jinde v oddílech konfigurace.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "queue-connection-string": {
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-03-01",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                {
                    "name": "queue-connection-string",
                    "value": "[parameters('queue-connection-string')]"
                }]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "env": [
                            {
                                "name": "QueueName",
                                "value": "myqueue"
                            },
                            {
                                "name": "ConnectionString",
                                "secretRef": "queue-connection-string"
                            }
                        ]
                    }
                ],
                "scale": {
                    "minReplicas": 0,
                    "maxReplicas": 10,
                    "rules": [
                        {
                            "name": "myqueuerule",
                            "azureQueue": {
                                "queueName": "demoqueue",
                                "queueLength": 100,
                                "auth": [
                                    {
                                        "secretRef": "queue-connection-string",
                                        "triggerParameter": "connection"
                                    }
                                ]
                            }
                        }
                    ]
                }
            }
        }
    }]
}

V této části získá proměnná prostředí pojmenovanou connection-string hodnotu z tajného kódu na úrovni queue-connection-string aplikace. Konfigurace ověřování ve službě Azure Queue Storage používá queue-connection-string také tajný klíč k definování připojení.

Abyste se vyhnuli potvrzení tajných hodnot do správy zdrojového kódu pomocí šablony ARM, předejte tajné hodnoty jako parametry šablony ARM.

Azure CLI

V tomto příkladu vytvoříte aplikaci kontejneru pomocí Azure CLI s tajným kódem, na který odkazuje proměnná prostředí. Pokud chcete odkazovat na tajný klíč v proměnné prostředí v Azure CLI, nastavte jeho hodnotu na secretref:, následovanou názvem tajného kódu.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --secrets "queue-connection-string=$CONNECTIONSTRING" \
  --env-vars "QueueName=myqueue" "ConnectionString=secretref:queue-connection-string"

V této části získá proměnná prostředí pojmenovanou connection-string hodnotu z tajného kódu na úrovni queue-connection-string aplikace.

PowerShell

V tomto příkladu vytvoříte kontejner pomocí Azure PowerShellu s tajným kódem, na který odkazuje proměnná prostředí. Pokud chcete odkazovat na tajný klíč v proměnné prostředí v PowerShellu, nastavte jeho hodnotu na secretref:, následovanou názvem tajného kódu.

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id

$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString
$EnvVarObjQueue = New-AzContainerAppEnvironmentVarObject -Name QueueName -Value myqueue
$EnvVarObjConn = New-AzContainerAppEnvironmentVarObject -Name ConnectionString -SecretRef queue-connection-string -Value secretref
$TemplateObj = New-AzContainerAppTemplateObject -Name myQueueApp -Image demos/myQueueApp:v1 -Env $EnvVarObjQueue, $EnvVarObjConn

$ContainerAppArgs = @{
    Name = 'myQueueApp'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

V této části získá proměnná prostředí pojmenovanou ConnectionString hodnotu z tajného kódu na úrovni $QueueConnectionString aplikace.

Připojení tajných kódů ve svazku

Po deklarování tajných kódů na úrovni aplikace, jak je popsáno v části definování tajných kódů , můžete na ně odkazovat při vytváření nové revize v aplikaci kontejneru. Při připojování tajných kódů ke svazku se každý tajný klíč připojí jako soubor ve svazku. Název souboru je název tajného kódu a obsah souboru je hodnota tajného kódu. Všechny tajné kódy můžete načíst do připojení svazku nebo můžete načíst konkrétní tajné kódy.

Příklad

Azure Portal

Jakmile v aplikaci kontejneru definujete tajný klíč , můžete na něj při vytváření nové revize odkazovat na připojení svazku.

1. Přejděte do aplikace kontejneru na webu Azure Portal.

2. Otevřete stránku Správy revizí.

3. Vyberte Vytvořit novou revizi.

4. Na stránce Vytvořit a nasadit novou revizi

5. Vyberte kontejner a vyberte Upravit.

6. V části Připojení svazku rozbalte oddíl Tajné kódy.

7. Vyberte Vytvořit nový svazek.

8. Zadejte následující informace:

   • Název: mysecrets
   • Připojení všech tajných kódů: povoleno

   Poznámka:

   Pokud chcete načíst konkrétní tajné kódy, zakažte připojení všech tajných kódů a vyberte tajné kódy, které chcete načíst.

9. Vyberte Přidat.

10. V části Název svazku vyberte mojesecrety.

11. V části Cesta k připojení zadejte /mnt/secrets.

12. Zvolte Uložit.

13. Výběrem možnosti Vytvořit vytvořte novou revizi s připojením svazku.

Šablona ARM

V tomto příkladu jsou dva tajné kódy deklarovány na úrovni aplikace. Tyto tajné kódy jsou připojeny ke svazku s názvem mysecrets typu Secret. Svazek je připojen k cestě /mnt/secrets. Aplikace pak může odkazovat na tajné kódy v připojení svazku.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "queue-connection-string": {
            "type": "Securestring"
        },
        "api-key": {
            "type": "Securestring"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-11-01-preview",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                    {
                        "name": "queue-connection-string",
                        "value": "[parameters('queue-connection-string')]"
                    },
                    {
                        "name": "api-key",
                        "value": "[parameters('api-key')]"
                    }
                ]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "volumeMounts": [
                            {
                                "name": "mysecrets",
                                "mountPath": "/mnt/secrets"
                            }
                        ]
                    }
                ],
                "volumes": [
                    {
                        "name": "mysecrets",
                        "storageType": "Secret"
                    }
                ]
            }
        }
    }]
}

Pokud chcete načíst konkrétní tajné kódy a určit jejich cesty v rámci připojeného svazku, definujete tajné kódy v secrets poli objektu svazku. Následující příklad ukazuje, jak načíst pouze queue-connection-string tajný kód v připojení svazku mysecrets s názvem connection-string.txtsouboru .

{
    "properties": {
        ...
        "configuration": {
            ...
            "secrets": [
                {
                    "name": "queue-connection-string",
                    "value": "[parameters('queue-connection-string')]"
                },
                {
                    "name": "api-key",
                    "value": "[parameters('api-key')]"
                }
            ]
        },
        "template": {
            "containers": [
                {
                    "image": "myregistry/myQueueApp:v1",
                    "name": "myQueueApp",
                    "volumeMounts": [
                        {
                            "name": "mysecrets",
                            "mountPath": "/mnt/secrets"
                        }
                    ]
                }
            ],
            "volumes": [
                {
                    "name": "mysecrets",
                    "storageType": "Secret",
                    "secrets": [
                        {
                            "secretRef": "queue-connection-string",
                            "path": "connection-string.txt"
                        }
                    ]
                }
            ]
        }
        ...
    }
    ...
}

V aplikaci můžete číst tajný kód ze souboru umístěného na /mnt/secrets/connection-string.txtadrese .

Azure CLI

V tomto příkladu jsou dva tajné kódy deklarovány na úrovni aplikace. Tyto tajné kódy jsou připojeny ke svazku s názvem mysecrets typu Secret. Svazek je připojen k cestě /mnt/secrets. Aplikace pak může tajné kódy číst jako soubory v připojení svazku.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --secrets "queue-connection-string=$CONNECTIONSTRING" "api-key=$API_KEY" \
  --secret-volume-mount "/mnt/secrets"

Pokud chcete načíst konkrétní tajné kódy a určit jejich cesty v rámci připojeného svazku, definujte aplikaci pomocí YAML.

PowerShell

Připojení tajných kódů jako svazku se v PowerShellu nepodporuje.

Další kroky

Kontejnery