Hozzáférés Key Vault titkos kódhoz az Azure Managed Applications üzembe helyezésekor

Ha biztonságos értéket (például jelszót) kell megadnia paraméterként az üzembe helyezés során, lekérheti az értéket egy Azure-Key Vault. A felügyelt alkalmazások telepítésekor a Key Vault eléréséhez hozzáférést kell adnia a berendezés erőforrás-szolgáltató szolgáltatásának. A Felügyelt alkalmazások szolgáltatás ezt az identitást használja a műveletek futtatásához. Ahhoz, hogy az üzembe helyezés során sikeresen lekérhessen egy értéket egy Key Vault, a szolgáltatásnévnek hozzá kell tudnia férni a Key Vault.

Ez a cikk azt ismerteti, hogyan konfigurálhatja a Key Vault a felügyelt alkalmazásokkal való együttműködésre.

Sablon üzembe helyezésének engedélyezése

  1. Jelentkezzen be az Azure Portalra.

  2. Nyissa meg a kulcstartót. Írja be a kulcstartókat a keresőmezőbe, vagy válassza a Kulcstartók lehetőséget.

    Képernyőkép az Azure kezdőlapjáról egy kulcstartó kereséssel vagy a kulcstartó kiválasztásával történő megnyitásához.

  3. Válassza a Hozzáférési szabályzatok lehetőséget.

    Képernyőkép a hozzáférési szabályzatok kiválasztására vonatkozó Key Vault-beállításról.

  4. Válassza ki az Azure Resource Manager sablon üzembe helyezéséhez. Ezt követően válassza a Mentés lehetőséget.

    Képernyőkép a kulcstartó azon hozzáférési szabályzatairól, amelyek lehetővé teszik az Azure Resource Manager sablon üzembe helyezését.

Szolgáltatás hozzáadása közreműködőként

Rendelje hozzá a Közreműködő szerepkört a berendezés erőforrás-szolgáltatójának felhasználóhoz a kulcstartó hatókörében. Részletes lépésekért lásd: Azure-szerepkörök hozzárendelése a Azure Portal használatával.

A berendezés erőforrás-szolgáltatója egy egyszerű szolgáltatás az Azure Active Directory bérlőjében. A Azure Portal megtekintheti, hogy regisztrálva van-e, ha az Azure Active Directory>Enterprise-alkalmazásokban módosítja a keresési szűrőt Microsoft-alkalmazásokra. Keresse meg a berendezés erőforrás-szolgáltatót. Ha nem található, regisztrálja az erőforrás-szolgáltatót Microsoft.Solutions .

Hivatkozás Key Vault titkos kódra

Ha titkos kódot szeretne átadni egy Key Vault egy sablonnak a felügyelt alkalmazásban, egy csatolt vagy beágyazott sablont kell használnia, és hivatkoznia kell a Key Vault a csatolt vagy beágyazott sablon paramétereiben. Adja meg a Key Vault erőforrás-azonosítóját és a titkos kód nevét.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "The location where the resources will be deployed."
      }
    },
    "vaultName": {
      "type": "string",
      "metadata": {
        "description": "The name of the key vault that contains the secret."
      }
    },
    "secretName": {
      "type": "string",
      "metadata": {
        "description": "The name of the secret."
      }
    },
    "vaultResourceGroupName": {
      "type": "string",
      "metadata": {
        "description": "The name of the resource group that contains the key vault."
      }
    },
    "vaultSubscription": {
      "type": "string",
      "defaultValue": "[subscription().subscriptionId]",
      "metadata": {
        "description": "The name of the subscription that contains the key vault."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Resources/deployments",
      "apiVersion": "2021-04-01",
      "name": "dynamicSecret",
      "properties": {
        "mode": "Incremental",
        "expressionEvaluationOptions": {
          "scope": "inner"
        },
        "template": {
          "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
          "contentVersion": "1.0.0.0",
          "parameters": {
            "adminLogin": {
              "type": "string"
            },
            "adminPassword": {
              "type": "securestring"
            },
            "location": {
              "type": "string"
            }
          },
          "variables": {
            "sqlServerName": "[concat('sql-', uniqueString(resourceGroup().id, 'sql'))]"
          },
          "resources": [
            {
              "type": "Microsoft.Sql/servers",
              "apiVersion": "2022-02-01-preview",
              "name": "[variables('sqlServerName')]",
              "location": "[parameters('location')]",
              "properties": {
                "administratorLogin": "[parameters('adminLogin')]",
                "administratorLoginPassword": "[parameters('adminPassword')]"
              }
            }
          ],
          "outputs": {
            "sqlFQDN": {
              "type": "string",
              "value": "[reference(variables('sqlServerName')).fullyQualifiedDomainName]"
            }
          }
        },
        "parameters": {
          "location": {
            "value": "[parameters('location')]"
          },
          "adminLogin": {
            "value": "ghuser"
          },
          "adminPassword": {
            "reference": {
              "keyVault": {
                "id": "[resourceId(parameters('vaultSubscription'), parameters('vaultResourceGroupName'), 'Microsoft.KeyVault/vaults', parameters('vaultName'))]"
              },
              "secretName": "[parameters('secretName')]"
            }
          }
        }
      }
    }
  ],
  "outputs": {
  }
}

Következő lépések

Úgy konfigurálta a Key Vault, hogy elérhető legyen egy felügyelt alkalmazás üzembe helyezése során.