Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Sugerencia
Este contenido es un extracto del libro electrónico, ".NET Microservices Architecture for Containerized .NET Applications" (Arquitectura de microservicios de .NET para aplicaciones de .NET contenedorizadas), disponible en Documentación de .NET o como un PDF descargable y gratuito que se puede leer sin conexión.
Los secretos almacenados como variables de entorno o almacenados por la herramienta Secret Manager siguen almacenados localmente y sin cifrar en el equipo. Una opción más segura para almacenar secretos es Azure Key Vault, que proporciona una ubicación segura y central para almacenar claves y secretos.
El paquete Azure.Extensions.AspNetCore.Configuration.Secrets permite que una aplicación ASP.NET Core lea la información de configuración de Azure Key Vault. Para empezar a usar secretos desde una instancia de Azure Key Vault, siga estos pasos:
Registre la aplicación como una aplicación de Azure AD. (Azure AD administra el acceso a los almacenes de claves). Esto se puede hacer a través del Portal de administración de Azure.\
Como alternativa, si quiere que la aplicación se autentique mediante un certificado en lugar de una contraseña o un secreto de cliente, puede usar el cmdlet new-AzADApplication de PowerShell. El certificado que se registra en Azure Key Vault solo necesita la clave pública. La aplicación usará la clave privada.
Proporcione a la aplicación registrada acceso a la bóveda de claves mediante la creación de un nuevo principal de servicio. Puede hacerlo con los siguientes comandos de PowerShell:
$sp = New-AzADServicePrincipal -ApplicationId "<Application ID guid>" Set-AzKeyVaultAccessPolicy -VaultName "<VaultName>" -ServicePrincipalName $sp.ServicePrincipalNames[0] -PermissionsToSecrets all -ResourceGroupName "<KeyVault Resource Group>"Incluya el almacén de claves como origen de configuración en la aplicación mediante una llamada al método de extensión AzureKeyVaultConfigurationExtensions.AddAzureKeyVault al crear una IConfigurationRoot instancia.
Tenga en cuenta que, al llamar a AddAzureKeyVault necesitará el Id. de la aplicación registrada y a la que se concedió acceso al almacén de claves en los pasos anteriores. O bien, primero puede ejecutar el comando de la CLI de Azure az login y, después, usar una sobrecarga de AddAzureKeyVault que toma un objeto DefaultAzureCredential en lugar del cliente.
Importante
Se recomienda registrar Azure Key Vault como último proveedor de configuración, por lo que puede invalidar los valores de configuración de los proveedores anteriores.
Recursos adicionales
Uso de Azure Key Vault para proteger los secretos de aplicación
https://learn.microsoft.com/azure/architecture/multitenant-identityAlmacenamiento seguro de secretos de aplicación durante el desarrollo
https://learn.microsoft.com/aspnet/core/security/app-secretsConfiguración de la protección de datos
https://learn.microsoft.com/aspnet/core/security/data-protection/configuration/overviewAdministración y duración de claves de protección de datos en ASP.NET Core
https://learn.microsoft.com/aspnet/core/security/data-protection/configuration/default-settings
Colaborar con nosotros en GitHub
El origen de este contenido se puede encontrar en GitHub, donde también puede crear y revisar problemas y solicitudes de incorporación de cambios. Para más información, consulte nuestra guía para colaboradores.
