Quickstart: Azure-services verbinden en geheimen opslaan in Azure Key Vault

Azure Key Vault is een cloudservice die werkt als een beveiligd archief voor geheimen. U kunt veilig sleutels, wachtwoorden, certificaten en andere geheime informatie opslaan. Wanneer u een serviceverbinding maakt, kunt u veilig toegangssleutels en geheimen opslaan in verbonden Key Vault. In deze zelfstudie voert u de volgende taken uit met behulp van Azure Portal. Beide methoden worden beschreven in de volgende procedures.

• Een serviceverbinding maken met Azure Key Vault in Azure-app Service
• Een serviceverbinding maken met Azure Blob Storage en geheimen opslaan in Key Vault
• Geheimen weergeven in Key Vault

Vereisten

Als u een serviceverbinding wilt maken en geheimen wilt opslaan in Key Vault met Service Connector, hebt u het volgende nodig:

• Basiskennis van het gebruik van Service Connector
• Een Azure-account met een actief abonnement. Gratis een account maken
• Een app die wordt gehost in App Service. Als u er nog geen hebt, maakt en implementeert u een app in App Service
• Een Azure Key Vault. Als u er nog geen hebt, maakt u een Azure Key Vault
• Een ander doelservice-exemplaar dat wordt ondersteund door Service Connector. In deze zelfstudie gebruikt u Azure Blob Storage
• Lees- en schrijftoegang tot de App Service, Key Vault en de doelservice.

Een Key Vault-verbinding maken in App Service

Als u uw verbindingstoegangssleutels en -geheimen wilt opslaan in een sleutelkluis, begint u met het verbinden van uw App Service met een sleutelkluis.

1. Typ In Azure Portal App Service in het zoekmenu en selecteer de naam van de App Service die u wilt gebruiken in de lijst.

2. Selecteer ServiceConnector in de linkeropgave van de inhoudsopgave. Selecteer vervolgens Maken.

3. Selecteer of voer de volgende instellingen in.

   Instelling	Voorgestelde waarde	Beschrijving
   Servicetype	Key Vault	Doelservicetype. Als u geen Key Vault hebt, maakt u er een.
   Abonnement	Een van uw abonnementen.	Het abonnement waarin uw doelservice wordt geïmplementeerd. De doelservice is de service waarmee u verbinding wilt maken. De standaardwaarde is het abonnement dat wordt vermeld voor de App Service.
   Verbindingsnaam	Gegenereerde unieke naam	De naam van de verbinding waarmee de verbinding tussen uw App Service en de doelservice wordt geïdentificeerd
   Naam van sleutelkluis	De naam van uw sleutelkluis	De doelsleutelkluis waarmee u verbinding wilt maken.
   Clienttype	Dezelfde app-stack op deze App Service	Uw toepassingsstack die werkt met de doelservice die u hebt geselecteerd. De standaardwaarde is afkomstig van de App Service-runtimestack.

4. Selecteer Volgende: Verificatie om het verificatietype te selecteren. Selecteer vervolgens Door het systeem toegewezen beheerde identiteit om verbinding te maken met uw Key Vault.

5. Selecteer Volgende: Netwerk om de netwerkconfiguratie te selecteren. Selecteer vervolgens Firewallinstellingen inschakelen om de acceptatielijst voor de firewall in Key Vault bij te werken, zodat uw App Service de Key Vault kan bereiken.

6. Selecteer vervolgens Volgende: Beoordelen en maken om de opgegeven informatie te controleren. Selecteer Maken om de serviceverbinding te maken. Het kan één minuut duren voordat de bewerking is voltooid.

Een Blob Storage-verbinding maken in App Service en toegangssleutels opslaan in Key Vault

U kunt nu een serviceverbinding met een andere doelservice maken en toegangssleutels rechtstreeks opslaan in een verbonden sleutelkluis wanneer u een verbindingsreeks/toegangssleutel of een service-principal gebruikt voor verificatie. We gebruiken Blob Storage als voorbeeld hieronder. Volg hetzelfde proces voor andere doelservices.

1. Typ In Azure Portal App Service in het zoekmenu en selecteer de naam van de App Service die u wilt gebruiken in de lijst.

2. Selecteer ServiceConnector in de linkeropgave van de inhoudsopgave. Selecteer vervolgens Maken.

3. Selecteer of voer de volgende instellingen in.

   Instelling	Voorgestelde waarde	Beschrijving
   Servicetype	Blob Storage	Doelservicetype. Als u geen Storage Blob-container hebt, kunt u een container maken of een ander servicetype gebruiken.
   Abonnement	Een van uw abonnementen	Het abonnement waarin uw doelservice wordt geïmplementeerd. De doelservice is de service waarmee u verbinding wilt maken. De standaardwaarde is het abonnement dat wordt vermeld voor de App Service.
   Verbindingsnaam	Gegenereerde unieke naam	De verbindingsnaam waarmee de verbinding tussen uw App Service en de doelservice wordt geïdentificeerd.
   Opslagaccount	Uw opslagaccount	Het doelopslagaccount waarmee u verbinding wilt maken. Als u een ander servicetype kiest, selecteert u het bijbehorende doelservice-exemplaar.
   Clienttype	Dezelfde app-stack op deze App Service	Uw toepassingsstack die werkt met de doelservice die u hebt geselecteerd. De standaardwaarde is afkomstig van de App Service-runtimestack.

4. Verificatie instellen

   Verbindingsreeks

   Belangrijk

   Microsoft raadt u aan de veiligste verificatiestroom te gebruiken die beschikbaar is. De verificatiestroom die in deze procedure wordt beschreven, vereist een zeer hoge mate van vertrouwen in de toepassing en brengt risico's met zich mee die niet aanwezig zijn in andere stromen. U moet deze stroom alleen gebruiken wanneer andere veiligere stromen, zoals beheerde identiteiten, niet haalbaar zijn.

   Selecteer Volgende: Verificatie om het verificatietype te selecteren en verbindingsreeks te selecteren om een toegangssleutel te gebruiken om uw opslagaccount te verbinden.

   Instelling	Voorgestelde waarde	Beschrijving
   Geheim opslaan in Key Vault	Selecteren	Met deze optie kan serviceconnector de verbindingsreeks/toegangssleutel opslaan in uw Key Vault.
   Key Vault-verbinding	Een van uw Key Vault-verbindingen	Selecteer de Sleutelkluis waarin u uw verbindingsreeks/toegangssleutel wilt opslaan.

   Service/principal

   Selecteer Volgende: Verificatie om het verificatietype te selecteren en service-principal te selecteren om een service-principal te gebruiken om uw opslagaccount te verbinden.

   Instelling	Voorgestelde waarde	Beschrijving
   Id of naam van service-principal-object	Kies de service-principal die u wilt gebruiken om verbinding te maken met Blob Storage in de lijst	De service-principal in uw abonnement die wordt gebruikt om verbinding te maken met de doelservice.
   Geheim opslaan in Key Vault	Selecteren	Met deze optie kan Service Connector de id en het geheim van de service-principal opslaan in Key Vault.
   Key Vault-verbinding	Een van uw sleutelkluisverbindingen	Selecteer de Sleutelkluis waarin u uw service-principal-id en geheim wilt opslaan.

5. Selecteer Volgende: Netwerk en firewallinstellingen inschakelen om de acceptatielijst voor de firewall in Key Vault bij te werken, zodat uw App Service de Key Vault kan bereiken.

6. Selecteer vervolgens Volgende: Beoordelen en maken om de opgegeven informatie te controleren.

7. Selecteer Maken om de serviceverbinding te maken. Het kan een minuut duren voordat de bewerking is voltooid.

Uw configuratie weergeven in Key Vault

1. Vouw de Blob Storage-verbinding uit en selecteer Verborgen waarde. Klik om de waarde weer te geven. U kunt zien dat de waarde een Key Vault-verwijzing is.

2. Selecteer de sleutelkluis in de kolom Servicetype van uw Key Vault-verbinding. U wordt omgeleid naar de key vault-portalpagina.

3. Selecteer Geheimen in de sleutelkluis links van de sleutelkluis en selecteer de naam van het blob-opslaggeheim.

   Tip

   Bent u niet gemachtigd om geheimen weer te geven? Raadpleeg het oplossen van problemen met Azure Key Vault.

4. Selecteer een versie-id in de lijst huidige versie.

5. Selecteer Geheime waarde weergeven om de verbindingsreeks van deze blobopslagverbinding op te halen.

Resources opschonen

Wanneer u deze niet meer nodig hebt, verwijdert u de resourcegroep en alle gerelateerde resources die voor deze zelfstudie zijn gemaakt. Hiervoor selecteert u een resourcegroep of de afzonderlijke resources die u hebt gemaakt en selecteert u Verwijderen.

Volgende stappen

Interne werking van serviceconnector