Freigeben über

Importieren von Zertifikaten aus Azure Key Vault in Azure Container Apps (Vorschau)

  • Artikel

Sie können Azure Key Vault einrichten, um die Zertifikate Ihrer Container-App zu verwalten und somit Updates, Verlängerungen und die Überwachung zu verarbeiten. Ohne Key Vault müssen Sie Ihr Zertifikat manuell verwalten. Das bedeutet, dass Sie Keine Zertifikate an einem zentralen Ort verwalten können und die Lebenszyklusautomatisierung oder Benachrichtigungen nicht nutzen können.

Voraussetzungen

  • Azure Key Vault: Erstellen Sie eine Key Vault-Ressource.

  • Azure CLI: Sie müssen die Azure CLI mit Version 0.3.49 oder höher der Azure Container Apps-Erweiterung aktualisieren. Installieren Sie mit dem Befehl az extension add die aktuelle Version.

    az extension add --name containerapp --upgrade --allow-preview`

  • Verwaltete Identität: Aktivieren Sie die verwaltete Identität in Ihrer Container Apps-Umgebung.

Geheimniskonfiguration

Zum Speichern Ihres Zertifikats ist eine Instanz von Azure Key Vault erforderlich. Nehmen Sie die folgenden Aktualisierungen an Ihrer Key Vault-Instanz vor:

  1. Öffnen Sie das Azure-Portal.

  2. Navigieren Sie zu Ihrer Azure Container Apps-Umgebung.

  3. Wählen Sie unter Einstellungen die Option „Zugriffssteuerung (IAM)“ aus.

  4. Legen Sie sich auf der Registerkarte Rollen selbst als Key Vault-Administrator fest.

  5. Wechseln Sie zu den Details Ihres Zertifikats, kopieren Sie den Wert für Geheimnisbezeichner, und fügen Sie ihn in einen Text-Editor ein, um ihn in einem späteren Schritt zu verwenden.

    Hinweis

    Um eine bestimmte Version des Zertifikats abzurufen, schließen Sie das Versionssuffix mit dem Geheimnisbezeichner ein. Um die neueste Version abzurufen, entfernen Sie das Versionssuffix aus dem Bezeichner.

Aktivieren und Konfigurieren des Key Vault-Zertifikats

  1. Öffnen Sie das Azure-Portal, und navigieren Sie zu Ihrer Key Vault-Instanz.

  2. Wählen Sie im Abschnitt Objekte die Option Zertifikate aus.

  3. Wählen Sie das zu verwendende Zertifikat aus.

  4. Wählen Sie im Abschnitt Zugriffssteuerung (IAM) die Option Rollenzuweisung hinzufügen aus.

  5. Fügen Sie die Rollen Zertifikatbeauftragter für Schlüsseltresore und Geheimnisbeauftragter für Schlüsseltresore hinzu.

  6. Wechseln Sie zu den Details Ihres Zertifikats, und kopieren Sie den Wert für Geheimnisbezeichner.

  7. Fügen Sie den Bezeichner in einen Text-Editor ein, um ihn in einem späteren Schritt zu verwenden.

Zuweisen von Rollen für die verwaltete Identität auf Umgebungsebene

  1. Öffnen Sie das Azure-Portal, und suchen Sie Ihre Instanz der Azure Container Apps-Umgebung, in der Sie ein Zertifikat importieren möchten.

  2. Wählen Sie unter Einstellungen die Option Identität aus.

  3. Suchen Sie auf der Registerkarte Systemseitig zugewiesen die Option für Status, und wählen Sie Ein aus.

  4. Wählen Sie Speichern und dann Ja aus, wenn das Fenster Systemseitig zugewiesene verwaltete Identität aktivieren angezeigt wird.

  5. Wählen Sie unter der Bezeichnung Berechtigungen die Option Azure-Rollenzuweisungen aus, um das Fenster „Rollenzuweisungen“ zu öffnen.

  6. Wählen Sie Rollenzuweisung hinzufügen aus, und geben Sie die folgenden Werte ein:

    Eigenschaft Wert
    Bereich Wählen Sie Key Vault aus.
    Subscription Wählen Sie Ihr Azure-Abonnement.
    Resource Wählen Sie Ihren Tresor aus.
    Role Wählen Sie Geheimnisbenutzer für Schlüsseltresore aus.

  7. Wählen Sie Speichern.

Weitere Informationen zu RBAC und Legacyzugriffsrichtlinien finden Sie unter Rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) im Vergleich zu Zugriffsrichtlinien (Legacy).

Importieren eines Zertifikats

Nachdem Sie Ihre Container-App zum Lesen des Tresors autorisiert haben, können Sie den Befehl az containerapp env certificate upload verwenden, um Ihren Tresor in Ihre Container Apps-Umgebung zu importieren.

Bevor Sie den folgenden Befehl ausführen, ersetzen Sie die Platzhaltertoken in spitzen Klammern (<>) durch Ihre eigenen Werte.

az containerapp env certificate upload \
  --resource-group <RESOURCE_GROUP> \
  --name <CONTAINER_APP_NAME> \
  --akv-url <KEY_VAULT_URL> \
  --certificate-identity <CERTIFICATE_IDENTITY>

Weitere Informationen zu den Befehlsparametern finden Sie in der folgenden Tabelle.

Parameter Beschreibung
--resource-group Ihren Ressourcengruppennamen.
--name Name der Container-App
--akv-url Die URL für Ihren Geheimnisbezeichner. Diese URL ist der Wert, den Sie in einem vorherigen Schritt notiert haben.
--certificate-identity Die ID für Ihre verwaltete Identität. Dieser Wert kann entweder system oder die ID für Ihre benutzerseitig zugewiesene verwaltete Identität sein.

Problembehandlung

Wenn beim Importieren des Zertifikats eine Fehlermeldung angezeigt wird, überprüfen Sie Ihre Aktionen mithilfe der folgenden Schritte:

  • Stellen Sie sicher, dass Berechtigungen sowohl für das Zertifikat als auch für die verwaltete Identität auf Umgebungsebene ordnungsgemäß konfiguriert sind.

    • Sie sollten die Rollen Geheimnisbeauftragter für Schlüsseltresore und Zertifikatbeauftragter für Schlüsseltresore zuweisen.

  • Stellen Sie sicher, dass Sie die richtige URL für den Zugriff auf Ihr Zertifikat verwenden. Sie sollten die URL für Geheimnisbezeichner verwenden.

Verwalten von Geheimnissen