Gestire i segreti nelle App contenitore di Azure

Le App contenitore di Azure consentono all'applicazione di archiviare in modo sicuro i valori di configurazione sensibili. Dopo aver definito i segreti a livello di applicazione, i valori protetti sono disponibili per le revisioni nelle app contenitore. Inoltre, è possibile fare riferimento a valori protetti all'interno delle regole di scalabilità. Per informazioni sull'uso dei segreti con Dapr, vedere Integrazione di Dapr.

• L'ambito dei segreti è un'applicazione, all'esterno di una revisione specifica di un'applicazione.
• L'aggiunta, la rimozione o la modifica dei segreti non genera nuove revisioni.
• Ogni revisione dell'applicazione può fare riferimento a uno o più segreti.
• Più revisioni possono fare riferimento agli stessi segreti.

Un segreto aggiornato o eliminato non influisce automaticamente sulle revisioni esistenti nella tua app. Quando un segreto viene aggiornato o eliminato, è possibile rispondere alle modifiche in uno dei due modi seguenti:

1. Distribuire una nuova revisione.
2. Riavviare una revisione esistente.

Prima di eliminare un segreto, distribuire una nuova revisione che non fa più riferimento al segreto precedente. Disattivare quindi tutte le revisioni che fanno riferimento al segreto.

Definizione dei segreti

I segreti vengono definiti come un set di coppie nome/valore. Il valore di ogni segreto viene specificato direttamente o come riferimento a un segreto archiviato in Azure Key Vault.

Archiviare il valore del segreto in App contenitore

Quando si definiscono segreti tramite il portale o tramite diverse opzioni della riga di comando.

Azure portal

1. Passare all'app contenitore nel portale di Azure.

2. Nella sezione Impostazioni selezionare Segreti.

3. Selezionare Aggiungi.

4. Nel riquadro Aggiungi contesto segreto immettere le informazioni seguenti:

   • Nome: nome del segreto.
   • Tipo: selezionare Segreto app contenitore.
   • Valore: valore del segreto.

5. Selezionare Aggiungi.

Modello ARM

I segreti vengono definiti a livello di applicazione nella resources.properties.configuration.secrets sezione .

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "value": "<MY-CONNECTION-STRING-VALUE>"
            }],
        }
    }
}

In questo caso, un stringa di connessione a un account di archiviazione code secrets viene dichiarato nella matrice. In questo esempio si sostituirà <MY-CONNECTION-STRING-VALUE> con il valore del stringa di connessione.

Interfaccia della riga di comando di Azure

Quando crei un'app contenitore, i segreti vengono definiti utilizzando il --secrets parametro.

• Il parametro accetta un set delimitato da spazi di coppie nome/valore.
• Ogni coppia è delimitata da un segno di uguale (=).

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --secrets "queue-connection-string=<CONNECTION_STRING>"

In questo caso, un stringa di connessione a un account di archiviazione code viene dichiarato nel --secrets parametro . Sostituire <CONNECTION_STRING> con il valore del stringa di connessione.

PowerShell

Quando si crea un'app contenitore, i segreti vengono definiti come uno o più oggetti Secret passati tramite il ConfigurationSecrets parametro .

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id
$TemplateObj = New-AzContainerAppTemplateObject -Name queuereader -Image demos/queuereader:v1
$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString

$ContainerAppArgs = @{
    Name = 'my-resource-group'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

In questo caso viene dichiarata una stringa di connessione a un account di archiviazione code. Il valore per queue-connection-string proviene da una variabile di ambiente denominata $QueueConnectionString.

Segreto di riferimento da Key Vault

Quando si definisce un segreto, si crea un riferimento a un segreto archiviato in Azure Key Vault. App contenitore recupera automaticamente il valore del segreto da Key Vault e lo rende disponibile come segreto nell'app contenitore.

Per fare riferimento a un segreto da Key Vault, è prima necessario abilitare l'identità gestita nell'app contenitore e concedere all'identità l'accesso ai segreti di Key Vault.

Per abilitare l'identità gestita nell'app contenitore, vedere Identità gestite.

Per concedere l'accesso ai segreti di Key Vault, creare un criterio di accesso in Key Vault per l'identità gestita creata. Abilitare l'autorizzazione per il segreto "Get" in questi criteri.

Azure portal

1. Passare all'app contenitore nel portale di Azure.

2. Nella sezione Impostazioni selezionare Identità.

3. Nella scheda Assegnata dal sistema selezionare Sì.

4. Selezionare Salva per abilitare l'identità gestita assegnata dal sistema.

5. Nella sezione Impostazioni selezionare Segreti.

6. Selezionare Aggiungi.

7. Nel riquadro Aggiungi contesto segreto immettere le informazioni seguenti:

   • Nome: nome del segreto.
   • Tipo: selezionare Informazioni di riferimento su Key Vault.
   • URL del segreto dell'insieme di credenziali delle chiavi: URI del segreto in Key Vault.
   • Identità: identità da usare per recuperare il segreto da Key Vault.

8. Selezionare Aggiungi.

Modello ARM

I segreti vengono definiti a livello di applicazione nella resources.properties.configuration.secrets sezione .

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "keyVaultUrl": "<KEY-VAULT-SECRET-URI>",
                "identity": "system"
            }],
        }
    }
}

In questo caso, un stringa di connessione a un account di archiviazione code secrets viene dichiarato nella matrice. Il valore viene recuperato automaticamente da Key Vault usando l'identità specificata. Per usare un'identità gestita dall'utente, sostituire system con l'ID risorsa dell'identità.

Sostituire <KEY-VAULT-SECRET-URI> con l'URI del segreto in Key Vault.

Interfaccia della riga di comando di Azure

Quando crei un'app contenitore, i segreti vengono definiti utilizzando il --secrets parametro.

• Il parametro accetta un set delimitato da spazi di coppie nome/valore.
• Ogni coppia è delimitata da un segno di uguale (=).
• Per specificare un riferimento a Key Vault, usare il formato <SECRET_NAME>=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<MANAGED_IDENTITY_ID>. Ad esempio: queue-connection-string=keyvaultref:https://mykeyvault.vault.azure.net/secrets/queuereader,identityref:/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity.

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
  --secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>"

In questo caso, un stringa di connessione a un account di archiviazione code viene dichiarato nel --secrets parametro . Sostituire <KEY_VAULT_SECRET_URI> con l'URI del segreto in Key Vault. Sostituire <USER_ASSIGNED_IDENTITY_ID> con l'ID risorsa dell'identità assegnata dall'utente. Per l'identità assegnata dal sistema, usare system anziché l'ID risorsa.

Nota

L'identità assegnata dall'utente deve avere accesso per leggere il segreto in Key Vault. L'identità assegnata dal sistema non può essere usata con il comando create perché non è disponibile fino alla creazione dell'app contenitore.

PowerShell

I riferimenti all'insieme di credenziali delle chiavi dei segreti non sono supportati in PowerShell.

Nota

Se si usa la route definita dall'utente con Firewall di Azure, sarà necessario aggiungere il tag del AzureKeyVault servizio e il nome di dominio completo login.microsoft.com all'elenco elementi consentiti per il firewall. Fare riferimento alla configurazione della route definita dall'utente con Firewall di Azure per decidere quali tag di servizio aggiuntivi sono necessari.

URI segreto e rotazione dei segreti di Key Vault

L'URI del segreto dell'insieme di credenziali delle chiavi deve essere in uno dei formati seguenti:

• https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931: fare riferimento a una versione specifica di un segreto.
• https://myvault.vault.azure.net/secrets/mysecret: fare riferimento alla versione più recente di un segreto.

Se nell'URI non è specificata una versione, l'app usa la versione più recente presente nell'insieme di credenziali delle chiavi. Quando le versioni più recenti diventano disponibili, l'app recupera automaticamente la versione più recente entro 30 minuti. Tutte le revisioni attive che fanno riferimento al segreto in una variabile di ambiente vengono riavviate automaticamente per recuperare il nuovo valore.

Per il controllo completo della versione di un segreto, specificare la versione nell'URI.

Riferimento ai segreti nelle variabili di ambiente

Dopo aver dichiarato segreti a livello di applicazione come descritto nella sezione definizione dei segreti , è possibile farvi riferimento nelle variabili di ambiente quando si crea una nuova revisione nell'app contenitore. Quando una variabile di ambiente fa riferimento a un segreto, il suo valore viene popolato con il valore definito nel segreto.

Esempio

L'esempio seguente mostra un'applicazione che dichiara una stringa di connessione a livello di applicazione. A questa connessione viene fatto riferimento in una variabile di ambiente contenitore e in una regola di scalabilità.

Azure portal

Dopo aver definito un segreto nell'app contenitore, è possibile farvi riferimento in una variabile di ambiente quando si crea una nuova revisione.

1. Passare all'app contenitore nel portale di Azure.

2. Aprire la pagina Gestione revisioni.

3. Selezionare Crea nuova revisione.

4. Nella pagina Crea e distribuisci nuova revisione selezionare un contenitore.

5. Nella sezione Variabili di ambiente selezionare Aggiungi.

6. Immettere le informazioni seguenti:

   • Nome: nome della variabile di ambiente.
   • Origine: selezionare Riferimenti a un segreto.
   • Valore: selezionare il segreto a cui si desidera fare riferimento.

7. Seleziona Salva.

8. Selezionare Crea per creare la nuova revisione.

Modello ARM

In questo esempio l'applicazione stringa di connessione viene dichiarata come queue-connection-string e diventa disponibile altrove nelle sezioni di configurazione.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "queue-connection-string": {
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-03-01",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                {
                    "name": "queue-connection-string",
                    "value": "[parameters('queue-connection-string')]"
                }]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "env": [
                            {
                                "name": "QueueName",
                                "value": "myqueue"
                            },
                            {
                                "name": "ConnectionString",
                                "secretRef": "queue-connection-string"
                            }
                        ]
                    }
                ],
                "scale": {
                    "minReplicas": 0,
                    "maxReplicas": 10,
                    "rules": [
                        {
                            "name": "myqueuerule",
                            "azureQueue": {
                                "queueName": "demoqueue",
                                "queueLength": 100,
                                "auth": [
                                    {
                                        "secretRef": "queue-connection-string",
                                        "triggerParameter": "connection"
                                    }
                                ]
                            }
                        }
                    ]
                }
            }
        }
    }]
}

In questo caso, la variabile di ambiente denominata connection-string ottiene il relativo valore dal segreto a livello queue-connection-string di applicazione. Inoltre, la configurazione di autenticazione della regola di scalabilità di Archiviazione code di Azure usa il queue-connection-string segreto per definire la connessione.

Per evitare di eseguire il commit dei valori dei segreti nel controllo del codice sorgente con il modello di Resource Manager, passare i valori dei segreti come parametri del modello di Resource Manager.

Interfaccia della riga di comando di Azure

In questo esempio si crea un'app contenitore usando l'interfaccia della riga di comando di Azure con un segreto a cui viene fatto riferimento in una variabile di ambiente. Per fare riferimento a un segreto in una variabile di ambiente nell'interfaccia della riga di comando di Azure, impostarne il valore su secretref:, seguito dal nome del segreto.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --secrets "queue-connection-string=$CONNECTIONSTRING" \
  --env-vars "QueueName=myqueue" "ConnectionString=secretref:queue-connection-string"

In questo caso, la variabile di ambiente denominata connection-string ottiene il relativo valore dal segreto a livello queue-connection-string di applicazione.

PowerShell

In questo esempio si crea un contenitore usando Azure PowerShell con un segreto a cui viene fatto riferimento in una variabile di ambiente. Per fare riferimento al segreto in una variabile di ambiente in PowerShell, impostarne il valore secretref:su , seguito dal nome del segreto.

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id

$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString
$EnvVarObjQueue = New-AzContainerAppEnvironmentVarObject -Name QueueName -Value myqueue
$EnvVarObjConn = New-AzContainerAppEnvironmentVarObject -Name ConnectionString -SecretRef queue-connection-string -Value secretref
$TemplateObj = New-AzContainerAppTemplateObject -Name myQueueApp -Image demos/myQueueApp:v1 -Env $EnvVarObjQueue, $EnvVarObjConn

$ContainerAppArgs = @{
    Name = 'myQueueApp'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

In questo caso, la variabile di ambiente denominata ConnectionString ottiene il relativo valore dal segreto a livello $QueueConnectionString di applicazione.

Montaggio di segreti in un volume

Dopo aver dichiarato segreti a livello di applicazione come descritto nella sezione definizione dei segreti , è possibile farvi riferimento nei montaggi di volumi quando si crea una nuova revisione nell'app contenitore. Quando si montano segreti in un volume, ogni segreto viene montato come file nel volume. Il nome del file è il nome del segreto e il contenuto del file è il valore del segreto. È possibile caricare tutti i segreti in un montaggio del volume oppure caricare segreti specifici.

Esempio

Azure portal

Dopo aver definito un segreto nell'app contenitore, è possibile farvi riferimento in un montaggio del volume quando si crea una nuova revisione.

1. Passare all'app contenitore nel portale di Azure.

2. Aprire la pagina Gestione revisioni.

3. Selezionare Crea nuova revisione.

4. Nella pagina Crea e distribuisci nuova revisione .

5. Selezionare un contenitore e selezionare Modifica.

6. Nella sezione Montaggi di volumi espandere la sezione Segreti.

7. Selezionare Crea nuovo volume.

8. Immettere le informazioni seguenti:

   • Nome: mysecrets
   • Montare tutti i segreti: abilitato

   Nota

   Se si desidera caricare segreti specifici, disabilitare Montare tutti i segreti e selezionare i segreti da caricare.

9. Selezionare Aggiungi.

10. In Nome volume selezionare mysecrets.

11. In Percorso di montaggio immettere /mnt/secrets.

12. Seleziona Salva.

13. Selezionare Crea per creare la nuova revisione con il montaggio del volume.

Modello ARM

In questo esempio due segreti vengono dichiarati a livello di applicazione. Questi segreti vengono montati in un volume denominato mysecrets di tipo Secret. Il volume viene montato nel percorso /mnt/secrets. L'applicazione può quindi fare riferimento ai segreti nel montaggio del volume.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "queue-connection-string": {
            "type": "Securestring"
        },
        "api-key": {
            "type": "Securestring"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-11-01-preview",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                    {
                        "name": "queue-connection-string",
                        "value": "[parameters('queue-connection-string')]"
                    },
                    {
                        "name": "api-key",
                        "value": "[parameters('api-key')]"
                    }
                ]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "volumeMounts": [
                            {
                                "name": "mysecrets",
                                "mountPath": "/mnt/secrets"
                            }
                        ]
                    }
                ],
                "volumes": [
                    {
                        "name": "mysecrets",
                        "storageType": "Secret"
                    }
                ]
            }
        }
    }]
}

Per caricare segreti specifici e specificare i relativi percorsi all'interno del volume montato, definire i segreti nella secrets matrice dell'oggetto volume. Nell'esempio seguente viene illustrato come caricare solo il queue-connection-string segreto nel montaggio del mysecrets volume con un nome di file .connection-string.txt

{
    "properties": {
        ...
        "configuration": {
            ...
            "secrets": [
                {
                    "name": "queue-connection-string",
                    "value": "[parameters('queue-connection-string')]"
                },
                {
                    "name": "api-key",
                    "value": "[parameters('api-key')]"
                }
            ]
        },
        "template": {
            "containers": [
                {
                    "image": "myregistry/myQueueApp:v1",
                    "name": "myQueueApp",
                    "volumeMounts": [
                        {
                            "name": "mysecrets",
                            "mountPath": "/mnt/secrets"
                        }
                    ]
                }
            ],
            "volumes": [
                {
                    "name": "mysecrets",
                    "storageType": "Secret",
                    "secrets": [
                        {
                            "secretRef": "queue-connection-string",
                            "path": "connection-string.txt"
                        }
                    ]
                }
            ]
        }
        ...
    }
    ...
}

Nell'app è possibile leggere il segreto da un file che si trova in /mnt/secrets/connection-string.txt.

Interfaccia della riga di comando di Azure

In questo esempio due segreti vengono dichiarati a livello di applicazione. Questi segreti vengono montati in un volume denominato mysecrets di tipo Secret. Il volume viene montato nel percorso /mnt/secrets. L'applicazione può quindi leggere i segreti come file nel montaggio del volume.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --secrets "queue-connection-string=$CONNECTIONSTRING" "api-key=$API_KEY" \
  --secret-volume-mount "/mnt/secrets"

Per caricare segreti specifici e specificare i percorsi all'interno del volume montato, definire l'app usando YAML.

PowerShell

Il montaggio dei segreti come volume non è supportato in PowerShell.

Passaggi successivi

Contenitori