次の方法で共有

Azure Functions に対する Dapr シークレット入力バインド

  • [アーティクル]

Dapr シークレット入力バインドを使うと、関数の実行中にシークレット データを入力として読み取ることができます。

Dapr 拡張機能のセットアップと構成について詳しくは、Dapr 拡張機能の概要に関する記事をご覧ください。

A C# 関数は、次の C# モードのいずれかを使用して作成できます。

実行モデル 説明
分離ワーカー モデル 関数コードは、別の .NET ワーカー プロセスで実行されます。 .NET と .NET Framework のサポートされているバージョンで使います。 詳細については、.NET 分離ワーカー プロセス関数の開発に関する記事を参照してください。
インプロセス モデル 関数コードは、Functions ホスト プロセスと同じプロセスで実行されます。 .NET の長期サポート (LTS) バージョンのみをサポートします。 詳細については、.NET クラス ライブラリ関数の開発に関する記事を参照してください。 
[FunctionName("RetrieveSecret")]
public static void Run(
    [DaprServiceInvocationTrigger] object args,
    [DaprSecret("kubernetes", "my-secret", Metadata = "metadata.namespace=default")] IDictionary<string, string> secret,
    ILogger log)
{
    log.LogInformation("C# function processed a RetrieveSecret request from the Dapr Runtime.");
}

次の例では、DaprSecretInput バインドと DaprServiceInvocationTrigger を使って、"RetreveSecret" 関数を作成します。

@FunctionName("RetrieveSecret")
public void run(
    @DaprServiceInvocationTrigger(
        methodName = "RetrieveSecret") Object args,
    @DaprSecretInput(
        secretStoreName = "kubernetes", 
        key = "my-secret", 
        metadata = "metadata.namespace=default") 
        Map<String, String> secret,
    final ExecutionContext context)

次の例では、Dapr シークレット入力バインドは、app オブジェクトによって登録される Dapr 呼び出しトリガーとペアになっています。

const { app, trigger } = require('@azure/functions');

app.generic('RetrieveSecret', {
    trigger: trigger.generic({
        type: 'daprServiceInvocationTrigger',
        name: "payload"
    }),
    extraInputs: [daprSecretInput],
    handler: async (request, context) => {
        context.log("Node function processed a RetrieveSecret request from the Dapr Runtime.");
        const daprSecretInputValue = context.extraInputs.get(daprSecretInput);

        // print the fetched secret value
        for (var key in daprSecretInputValue) {
            context.log(`Stored secret: Key=${key}, Value=${daprSecretInputValue[key]}`);
        }
    }
});

次の例は、function.json ファイル内の Dapr トリガーと、それらのバインドを使用する PowerShell コードを示しています。

daprServiceInvocationTriggerfunction.json ファイルを次に示します。

{
  "bindings": 
    {
      "type": "daprSecret",
      "direction": "in",
      "name": "secret",
      "key": "my-secret",
      "secretStoreName": "localsecretstore",
      "metadata": "metadata.namespace=default"
    }
}

function.json ファイルのプロパティについて詳しくは、「構成」セクションをご覧ください。

コード内で以下のように指定します。

using namespace System
using namespace Microsoft.Azure.WebJobs
using namespace Microsoft.Extensions.Logging
using namespace Microsoft.Azure.WebJobs.Extensions.Dapr
using namespace Newtonsoft.Json.Linq

param (
    $payload, $secret
)

# PowerShell function processed a CreateNewOrder request from the Dapr Runtime.
Write-Host "PowerShell function processed a RetrieveSecretLocal request from the Dapr Runtime."

# Convert the object to a JSON-formatted string with ConvertTo-Json
$jsonString = $secret | ConvertTo-Json

Write-Host "$jsonString"

次の例では、v2 Python プログラミング モデルを使用する Dapr シークレット入力バインドを示します。 Python 関数アプリ コードで daprServiceInvocationTrigger と共に daprSecret バインドを使うには:

import logging
import json
import azure.functions as func

app = func.FunctionApp()

@app.function_name(name="RetrieveSecret")
@app.dapr_service_invocation_trigger(arg_name="payload", method_name="RetrieveSecret")
@app.dapr_secret_input(arg_name="secret", secret_store_name="localsecretstore", key="my-secret", metadata="metadata.namespace=default")
def main(payload, secret: str) :
    # Function should be invoked with this command: dapr invoke --app-id functionapp --method RetrieveSecret  --data '{}'
    logging.info('Python function processed a RetrieveSecret request from the Dapr Runtime.')
    secret_dict = json.loads(secret)

    for key in secret_dict:
        logging.info("Stored secret: Key = " + key +
                     ', Value = ' + secret_dict[key])

属性

インプロセス モデルでは、DaprSecret を使って、次のパラメーターをサポートする Dapr シークレット入力バインドを定義します。

パラメーター 説明
SecretStoreName シークレットを取得するシークレット ストアの名前。
キー 取得するシークレットの名前を識別するキー。
Metadata 省略可能。 "key1=value1&key2=value2" 形式のメタデータ プロパティの配列。

注釈

DaprSecretInput 注釈を使うと、関数でシークレットにアクセスできるようになります。

要素 説明
secretStoreName Dapr シークレット ストアの名前。
key 秘密鍵の値。
metadata 省略可。 メタデータ値。

構成

次の表では、コードで設定するバインド構成プロパティについて説明します。

プロパティ 説明
key 秘密鍵の値。
secretStoreName local-secret-store.yaml コンポーネント ファイルで定義されているシークレット ストアの名前。
metadata メタデータ名前空間。

次の表は、function.json ファイルで設定したバインド構成のプロパティを説明しています。

function.json のプロパティ 説明
key 秘密鍵の値。
secretStoreName local-secret-store.yaml コンポーネント ファイルで定義されているシークレット ストアの名前。
metadata メタデータ名前空間。

次の表は、Python コードで設定する @dapp.dapr_secret_input のバインド構成プロパティについて説明しています。

プロパティ 説明
secret_store_name シークレット ストアの名前。
key 秘密鍵の値。
metadata メタデータ名前空間。

完全な例については、セクションの例を参照してください。

使用法

Dapr シークレット入力バインドを使うには、最初に Dapr シークレット ストア コンポーネントを設定します。 使用するコンポーネントとその設定方法の詳細については、Dapr の公式ドキュメントを参照してください。

Python v2daprSecret を使うには、正しい依存関係でプロジェクトを設定します。

  1. 仮想環境を作成してアクティブにする

  2. requirements.text ファイルに、次の行を追加します。

    azure-functions==1.18.0b3

  3. ターミナルで、Python ライブラリをインストールします。

    pip install -r .\requirements.txt

  4. 次の構成で local.setting.json ファイルを変更します。

    "PYTHON_ISOLATE_WORKER_DEPENDENCIES":1

次のステップ

Dapr のシークレットの詳細を理解する。