Бөлісу құралы:

Управление проверкой подлинности ключа доступа для экземпляра Конфигурация приложений Azure

  • Мақала

Каждый запрос к ресурсу Конфигурации приложений Azure должен пройти проверку подлинности. По умолчанию запросы можно пройти проверку подлинности с помощью учетных данных Microsoft Entra или с помощью ключа доступа. Из этих двух типов схем проверки подлинности идентификатор Microsoft Entra обеспечивает более высокую безопасность и удобство использования ключей доступа и рекомендуется корпорацией Майкрософт. Чтобы клиенты использовали идентификатор Microsoft Entra для проверки подлинности запросов, можно отключить использование ключей доступа для ресурса Конфигурация приложений Azure. Если вы хотите использовать ключи доступа для проверки подлинности запроса, рекомендуется периодически менять ключи доступа для повышения безопасности. Дополнительные сведения см . в рекомендациях по защите секретов приложений.

Включение проверки подлинности ключа доступа

Ключ доступа включен по умолчанию, вы можете использовать ключи доступа в коде для проверки подлинности запросов.

Чтобы разрешить проверку подлинности ключа доступа для ресурса Конфигурация приложений Azure в портал Azure, выполните следующие действия.

  1. Перейдите к ресурсу Конфигурации приложений Azure на портале Azure.

  2. Найдите параметр параметров доступа в разделе "Параметры".

    Снимок экрана: доступ к колонке ключа доступа к ресурсам Конфигурация приложений Azure.

  3. Установите переключатель "Включить ключи доступа" в значение "Включено".

    Снимок экрана: включение проверки подлинности ключа доступа для Конфигурация приложений Azure.

Убедитесь, что проверка подлинности ключа доступа включена

Чтобы проверить, включена ли проверка подлинности ключа доступа, проверьте, можно ли получить список ключей доступа только для чтения и чтения. Этот список будет существовать только в том случае, если включена проверка подлинности ключа доступа.

Чтобы проверить, включена ли проверка подлинности ключа доступа для ресурса Конфигурация приложений Azure в портал Azure, выполните следующие действия.

  1. Перейдите к ресурсу Конфигурации приложений Azure на портале Azure.

  2. Найдите параметр параметров доступа в разделе "Параметры".

    Снимок экрана: доступ к колонке ключа доступа к ресурсам Конфигурация приложений Azure.

  3. Проверьте, отображаются ли ключи доступа и включено ли переключение ключей доступа.

    Снимок экрана: ключи доступа для ресурса Конфигурация приложений Azure.

Отключение проверки подлинности по ключу доступа

Отключение проверки подлинности по ключу доступа приведет к удалению всех ключей доступа. Если все запущенные приложения используют ключи доступа для проверки подлинности, они начнут завершать сбой после отключения проверки подлинности ключа доступа. Будут успешно выполнены только запросы, прошедшие проверку подлинности с помощью идентификатора Microsoft Entra. Дополнительные сведения об использовании идентификатора Microsoft Entra см. в статье "Авторизация доступа к Конфигурация приложений Azure с помощью идентификатора Microsoft Entra". При повторном включении проверки подлинности по ключу доступа создается новый набор ключей доступа, и все приложения, пытающиеся использовать старые ключи доступа, будут завершаться неудачно.

Предупреждение

Если какие-либо клиенты в настоящее время обращаются к данным в ресурсе Конфигурация приложений Azure с ключами доступа, корпорация Майкрософт рекомендует перенести эти клиенты в идентификатор Microsoft Entra ID перед отключением проверки подлинности ключа доступа.

Чтобы запретить проверку подлинности по ключу доступа для ресурса Конфигурации приложений Azure на портале Azure, выполните следующие действия.

  1. Перейдите к ресурсу Конфигурации приложений Azure на портале Azure.

  2. Найдите параметр параметров доступа в разделе "Параметры".

    Снимок экрана: доступ к колонке ключа доступа к ресурсам Конфигурация приложений Azure.

  3. Установите переключатель Включить ключи доступа в положение Выключено.

    Снимок экрана: отключение проверки подлинности по ключу доступа для Конфигурации приложений Azure

Как убедиться, что проверка подлинности по ключу доступа отключена

Чтобы убедиться, что проверка подлинности по ключу доступа больше не разрешается, можно выполнить запрос на получение списка ключей доступа для ресурса Конфигурации приложений Azure. Если проверка подлинности ключа доступа отключена, ключи доступа отсутствуют, а операция списка возвращает пустой список.

Чтобы проверить, отключена ли проверка подлинности по ключу доступа для ресурса Конфигурации приложений Azure на портале Azure, выполните следующие действия.

  1. Перейдите к ресурсу Конфигурации приложений Azure на портале Azure.

  2. Найдите параметр параметров доступа в разделе "Параметры".

    Снимок экрана: доступ к колонке ключа доступа к ресурсам Конфигурация приложений Azure.

  3. Убедитесь, что не отображаются ключи доступа и отключено состояние включения ключей доступа.

    Снимок экрана: ключи доступа для ресурса Конфигурации приложений Azure отключены

Разрешения для включения или отключения проверки подлинности по ключу доступа

Чтобы изменить состояние проверки подлинности по ключу доступа для ресурса Конфигурации приложений Azure, пользователь должен иметь разрешения на создание ресурсов Конфигурации приложений Azure и управление ими. Роли управления доступом на основе ролей Azure (Azure RBAC), предоставляющие эти разрешения, включают действие Microsoft.AppConfiguration/configurationStores/write или Microsoft.AppConfiguration/configurationStores/*. Встроенные роли с этим действием:

Эти роли не предоставляют доступ к данным в ресурсе Конфигурация приложений Azure с помощью идентификатора Microsoft Entra. Но они включают разрешение на действие Microsoft.AppConfiguration/configurationStores/listKeys/action, которое предоставляет доступ к ключам доступа ресурса. Пользователь с этим разрешением может использовать ключи доступа для доступа ко всем данным в ресурсе.

Назначение роли должно быть на уровне ресурса Конфигурации приложений Azure или выше, чтобы пользователь имел право на разрешение или запрещение проверки подлинности по ключу доступа для ресурса. Дополнительные сведения об области роли см. в разделе Общие сведения об области для Azure RBAC.

Будьте осторожны, чтобы ограничить назначение этих ролей только тем пользователям, которым требуется возможность создать ресурс Конфигурация приложений или обновить его свойства. Используйте принцип наименьших привилегий, чтобы предоставлять пользователям минимальный набор разрешений, необходимый для выполнения их задач. Дополнительные сведения об управлении доступом с помощью Azure RBAC см. в разделе Рекомендации по использованию Azure RBAC.

Примечание.

Роли администратора классической подписки "администратор службы" и "соадминистратор" включают в себя эквивалент роли владельца Azure Resource Manager. Роль владельца включает в себя все действия, поэтому пользователь, которому назначена одна из этих административных ролей, также может создавать ресурсы Конфигурации приложений Azure и управлять ими. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.

Примечание.

Если проверка подлинности ключа доступа отключена, а режим проверки подлинности ARM в хранилище Конфигурация приложений является локальным, возможность чтения и записи значений ключей в шаблоне ARM также будет отключена. Это связано с тем, что доступ к ресурсу Microsoft.AppConfiguration/configurationStores/keyValues, используемому в шаблонах ARM, требуется проверка подлинности ключа доступа с помощью локального режима проверки подлинности ARM. Рекомендуется использовать режим сквозной проверки подлинности ARM. Дополнительные сведения см. в разделе "Общие сведения о развертывании".

Доступ к смене ключей

Корпорация Майкрософт рекомендует периодически менять ключи доступа, чтобы снизить риск векторов атак из утечки секретов. Каждый ресурс Конфигурация приложений Azure включает два ключа доступа только для чтения и два ключа доступа для чтения и записи, назначенные как первичные и вторичные ключи, чтобы упростить простое смену секретов. Эта настройка позволяет использовать альтернативные ключи доступа в приложениях без простоя.

Вы можете повернуть ключи с помощью следующей процедуры:

  1. Если вы используете оба ключа в рабочей среде, измените код таким образом, чтобы используется только один ключ доступа. В этом примере предположим, что вы решили продолжать использовать первичный ключ магазина. В коде должен быть только один ключ, так как при повторном создании вторичного ключа более ранняя версия этого ключа перестанет работать немедленно, что приводит к тому, что клиенты, использующие старый ключ, получают ошибки, отказано в доступе 401.

  2. После того как первичный ключ является единственным ключом, вы можете повторно создать вторичный ключ.

    Перейдите на страницу ресурса на портал Azure, откройте >меню параметров доступа к параметрам и выберите "Повторно создать" в разделе "Вторичный ключ".

    Снимок экрана: повторное создание вторичного ключа.

  3. Затем обновите код, чтобы использовать только что созданный вторичный ключ. Рекомендуется просмотреть журналы приложений, чтобы убедиться, что все экземпляры приложения перешли с использования первичного ключа на дополнительный ключ, прежде чем перейти к следующему шагу.

  4. Наконец, можно сделать недействительными первичные ключи, повторно создав их. В следующий раз можно использовать альтернативные ключи доступа между вторичными и первичными ключами, используя тот же процесс.

Следующие шаги