Zarządzanie wpisami tajnymi w usłudze Azure Container Apps

Usługa Azure Container Apps umożliwia aplikacji bezpieczne przechowywanie poufnych wartości konfiguracji. Po zdefiniowaniu wpisów tajnych na poziomie aplikacji zabezpieczone wartości są dostępne dla poprawek w aplikacjach kontenerów. Ponadto można odwoływać się do zabezpieczonych wartości wewnątrz reguł skalowania. Aby uzyskać informacje na temat używania wpisów tajnych z językiem Dapr, zapoznaj się z integracją języka Dapr.

• Wpisy tajne są ograniczone do określonej aplikacji, niezależnie od konkretnych wersji aplikacji.
• Dodawanie, usuwanie lub zmienianie wpisów tajnych nie generuje nowych poprawek.
• Każda wersja aplikacji może odwoływać się do co najmniej jednego wpisu tajnego.
• Wiele wersji może odwoływać się do tych samych wpisów tajnych.

Zaktualizowany lub usunięty wpis tajny nie ma automatycznie wpływu na istniejące poprawki w aplikacji. Po zaktualizowaniu lub usunięciu wpisu tajnego można zareagować na tę zmianę na jeden z dwóch sposobów:

1. Wdrożenie nowej wersji.
2. Ponowne uruchomienie istniejącej wersji.

Przed usunięciem wpisu tajnego wdróż nową wersję, która nie odwołuje się już do starego wpisu tajnego. Następnie zdezaktywuj wszystkie poprawki odwołujące się do wpisu tajnego.

Definiowanie wpisów tajnych

Wpisy tajne są definiowane jako zestaw par nazwa/wartość. Wartość każdego wpisu tajnego jest określana bezpośrednio lub jako odwołanie do wpisu tajnego przechowywanego w usłudze Azure Key Vault.

Przechowywanie wartości wpisu tajnego w usłudze Container Apps

Podczas definiowania wpisów tajnych za pośrednictwem portalu lub za pośrednictwem różnych opcji wiersza polecenia.

Witryna Azure Portal

1. Przejdź do aplikacji kontenera w witrynie Azure Portal.

2. W sekcji Ustawienia wybierz pozycję Wpisy tajne.

3. Wybierz pozycję Dodaj.

4. W okienku Dodawanie kontekstu wpisu tajnego wprowadź następujące informacje:

   • Nazwa: nazwa wpisu tajnego.
   • Typ: wybierz pozycję Wpis tajny aplikacji kontenera.
   • Wartość: wartość wpisu tajnego.

5. Wybierz pozycję Dodaj.

Szablon usługi ARM

Wpisy tajne są definiowane na poziomie aplikacji w resources.properties.configuration.secrets sekcji .

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "value": "<MY-CONNECTION-STRING-VALUE>"
            }],
        }
    }
}

W tym miejscu parametry połączenia do konta magazynu kolejek jest zadeklarowany w tablicysecrets. W tym przykładzie zastąpisz <MY-CONNECTION-STRING-VALUE> wartość parametry połączenia.

Interfejs wiersza polecenia platformy Azure

Podczas tworzenia aplikacji kontenera wpisy tajne są definiowane przy użyciu parametru --secrets .

• Parametr akceptuje rozdzielany spacjami zestaw par nazwa/wartość.
• Każda para jest rozdzielana znakiem równości (=).

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --secrets "queue-connection-string=<CONNECTION_STRING>"

W tym miejscu parametry połączenia do konta magazynu kolejek jest zadeklarowany w parametrze --secrets . Zastąp <CONNECTION_STRING> ciąg wartością parametry połączenia.

Program PowerShell

Podczas tworzenia aplikacji kontenera wpisy tajne są definiowane jako co najmniej jeden obiekt tajny przekazywany przez ConfigurationSecrets parametr .

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id
$TemplateObj = New-AzContainerAppTemplateObject -Name queuereader -Image demos/queuereader:v1
$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString

$ContainerAppArgs = @{
    Name = 'my-resource-group'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

W tym miejscu zadeklarowana jest parametry połączenia do konta magazynu kolejek. Wartość parametru queue-connection-string pochodzi ze zmiennej środowiskowej o nazwie $QueueConnectionString.

Odwołanie do wpisu tajnego z usługi Key Vault

Podczas definiowania wpisu tajnego tworzysz odwołanie do wpisu tajnego przechowywanego w usłudze Azure Key Vault. Usługa Container Apps automatycznie pobiera wartość wpisu tajnego z usługi Key Vault i udostępnia ją jako wpis tajny w aplikacji kontenera.

Aby odwołać się do wpisu tajnego z usługi Key Vault, musisz najpierw włączyć tożsamość zarządzaną w aplikacji kontenera i udzielić tożsamości dostępu do wpisów tajnych usługi Key Vault.

Aby włączyć tożsamość zarządzaną w aplikacji kontenera, zobacz Tożsamości zarządzane.

Aby udzielić dostępu do wpisów tajnych usługi Key Vault, utwórz zasady dostępu w usłudze Key Vault dla utworzonej tożsamości zarządzanej. Włącz uprawnienie "Pobierz" wpis tajny dla tych zasad.

Witryna Azure Portal

1. Przejdź do aplikacji kontenera w witrynie Azure Portal.

2. W sekcji Ustawienia wybierz pozycję Tożsamość.

3. Na karcie Przypisane przez system wybierz pozycję Włączone.

4. Wybierz pozycję Zapisz , aby włączyć tożsamość zarządzaną przypisaną przez system.

5. W sekcji Ustawienia wybierz pozycję Wpisy tajne.

6. Wybierz pozycję Dodaj.

7. W okienku Dodawanie kontekstu wpisu tajnego wprowadź następujące informacje:

   • Nazwa: nazwa wpisu tajnego.
   • Typ: Wybierz odwołanie do usługi Key Vault.
   • Adres URL wpisu tajnego usługi Key Vault: identyfikator URI wpisu tajnego w usłudze Key Vault.
   • Tożsamość: tożsamość używana do pobierania wpisu tajnego z usługi Key Vault.

8. Wybierz pozycję Dodaj.

Szablon usługi ARM

Wpisy tajne są definiowane na poziomie aplikacji w resources.properties.configuration.secrets sekcji .

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "keyVaultUrl": "<KEY-VAULT-SECRET-URI>",
                "identity": "system"
            }],
        }
    }
}

W tym miejscu parametry połączenia do konta magazynu kolejek jest zadeklarowany w tablicysecrets. Jego wartość jest automatycznie pobierana z usługi Key Vault przy użyciu określonej tożsamości. Aby użyć tożsamości zarządzanej przez użytkownika, zastąp element system identyfikatorem zasobu tożsamości.

Zastąp <KEY-VAULT-SECRET-URI> ciąg identyfikatorem URI wpisu tajnego w usłudze Key Vault.

Interfejs wiersza polecenia platformy Azure

Podczas tworzenia aplikacji kontenera wpisy tajne są definiowane przy użyciu parametru --secrets .

• Parametr akceptuje rozdzielany spacjami zestaw par nazwa/wartość.
• Każda para jest rozdzielana znakiem równości (=).
• Aby określić odwołanie do usługi Key Vault, użyj formatu <SECRET_NAME>=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<MANAGED_IDENTITY_ID>. Na przykład queue-connection-string=keyvaultref:https://mykeyvault.vault.azure.net/secrets/queuereader,identityref:/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity.

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
  --secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>"

W tym miejscu parametry połączenia do konta magazynu kolejek jest zadeklarowany w parametrze --secrets . Zastąp <KEY_VAULT_SECRET_URI> ciąg identyfikatorem URI wpisu tajnego w usłudze Key Vault. Zastąp <USER_ASSIGNED_IDENTITY_ID> element identyfikatorem zasobu tożsamości przypisanej przez użytkownika. W przypadku tożsamości przypisanej przez system użyj identyfikatora system zasobu zamiast identyfikatora zasobu.

Uwaga

Tożsamość przypisana przez użytkownika musi mieć dostęp do odczytu wpisu tajnego w usłudze Key Vault. Tożsamość przypisana przez system nie może być używana z poleceniem create, ponieważ nie jest dostępna do momentu utworzenia aplikacji kontenera.

Program PowerShell

Odwołania do usługi Key Vault wpisów tajnych nie są obsługiwane w programie PowerShell.

Uwaga

Jeśli używasz trasy zdefiniowanej AzureKeyVault przez użytkownika za pomocą usługi Azure Firewall, musisz dodać tag usługi i nazwę FQDN login.microsoft.com do listy dozwolonych zapory. Zapoznaj się z tematem Konfigurowanie trasy zdefiniowanej przez użytkownika za pomocą usługi Azure Firewall , aby zdecydować, które dodatkowe tagi usługi są potrzebne.

Identyfikator URI wpisu tajnego usługi Key Vault i rotacja wpisów tajnych

Identyfikator URI wpisu tajnego usługi Key Vault musi mieć jeden z następujących formatów:

• https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931: odwołuje się do określonej wersji wpisu tajnego.
• https://myvault.vault.azure.net/secrets/mysecret: odwołuje się do najnowszej wersji wpisu tajnego.

Jeśli wersja nie jest określona w identyfikatorze URI, aplikacja używa najnowszej wersji, która istnieje w magazynie kluczy. Gdy nowsze wersje staną się dostępne, aplikacja automatycznie pobiera najnowszą wersję w ciągu 30 minut. Wszystkie aktywne poprawki odwołujące się do wpisu tajnego w zmiennej środowiskowej są automatycznie uruchamiane ponownie w celu pobrania nowej wartości.

Aby uzyskać pełną kontrolę nad wersją wpisu tajnego, określ wersję w identyfikatorze URI.

Odwoływanie się do wpisów tajnych w zmiennych środowiskowych

Po zadeklarowaniu wpisów tajnych na poziomie aplikacji zgodnie z opisem w sekcji Definiujące wpisy tajne można odwoływać się do nich w zmiennych środowiskowych podczas tworzenia nowej poprawki w aplikacji kontenera. Gdy zmienna środowiskowa odwołuje się do wpisu tajnego, jego wartość jest wypełniana wartością zdefiniowaną w kluczu tajnym.

Przykład

W poniższym przykładzie pokazano aplikację, która deklaruje parametry połączenia na poziomie aplikacji. To połączenie jest przywołyne w zmiennej środowiskowej kontenera i w regule skalowania.

Witryna Azure Portal

Po zdefiniowaniu wpisu tajnego w aplikacji kontenera można odwoływać się do niej w zmiennej środowiskowej podczas tworzenia nowej poprawki.

1. Przejdź do aplikacji kontenera w witrynie Azure Portal.

2. Otwórz stronę Zarządzanie poprawkami.

3. Wybierz pozycję Utwórz nową poprawkę.

4. Na stronie Tworzenie i wdrażanie nowej poprawki wybierz kontener.

5. W sekcji Zmienne środowiskowe wybierz pozycję Dodaj.

6. Wprowadź następujące informacje:

   • Nazwa: nazwa zmiennej środowiskowej.
   • Źródło: wybierz pozycję Odwołuj się do wpisu tajnego.
   • Wartość: wybierz wpis tajny, do którego chcesz się odwołać.

7. Wybierz pozycję Zapisz.

8. Wybierz pozycję Utwórz , aby utworzyć nową poprawkę.

Szablon usługi ARM

W tym przykładzie aplikacja parametry połączenia jest zadeklarowana jako queue-connection-string i staje się dostępna w innych miejscach w sekcjach konfiguracji.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "queue-connection-string": {
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-03-01",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                {
                    "name": "queue-connection-string",
                    "value": "[parameters('queue-connection-string')]"
                }]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "env": [
                            {
                                "name": "QueueName",
                                "value": "myqueue"
                            },
                            {
                                "name": "ConnectionString",
                                "secretRef": "queue-connection-string"
                            }
                        ]
                    }
                ],
                "scale": {
                    "minReplicas": 0,
                    "maxReplicas": 10,
                    "rules": [
                        {
                            "name": "myqueuerule",
                            "azureQueue": {
                                "queueName": "demoqueue",
                                "queueLength": 100,
                                "auth": [
                                    {
                                        "secretRef": "queue-connection-string",
                                        "triggerParameter": "connection"
                                    }
                                ]
                            }
                        }
                    ]
                }
            }
        }
    }]
}

W tym miejscu zmienna środowiskowa o nazwie connection-string pobiera swoją wartość z wpisu tajnego na poziomie queue-connection-string aplikacji. Ponadto konfiguracja uwierzytelniania reguły skalowania usługi Azure Queue Storage używa wpisu tajnego queue-connection-string do zdefiniowania jego połączenia.

Aby uniknąć zatwierdzania wartości wpisów tajnych do kontroli źródła przy użyciu szablonu usługi ARM, przekaż wartości wpisów tajnych jako parametry szablonu usługi ARM.

Interfejs wiersza polecenia platformy Azure

W tym przykładzie utworzysz aplikację kontenera przy użyciu interfejsu wiersza polecenia platformy Azure z wpisem tajnym, do którego odwołuje się zmienna środowiskowa. Aby odwołać się do wpisu tajnego w zmiennej środowiskowej w interfejsie wiersza polecenia platformy Azure, ustaw jej wartość na secretref:, a następnie nazwę wpisu tajnego.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --secrets "queue-connection-string=$CONNECTIONSTRING" \
  --env-vars "QueueName=myqueue" "ConnectionString=secretref:queue-connection-string"

W tym miejscu zmienna środowiskowa o nazwie connection-string pobiera swoją wartość z wpisu tajnego na poziomie queue-connection-string aplikacji.

Program PowerShell

W tym przykładzie utworzysz kontener przy użyciu programu Azure PowerShell z wpisem tajnym, do którego odwołuje się zmienna środowiskowa. Aby odwołać się do wpisu tajnego w zmiennej środowiskowej w programie PowerShell, ustaw jej wartość na secretref:, a następnie nazwę wpisu tajnego.

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id

$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString
$EnvVarObjQueue = New-AzContainerAppEnvironmentVarObject -Name QueueName -Value myqueue
$EnvVarObjConn = New-AzContainerAppEnvironmentVarObject -Name ConnectionString -SecretRef queue-connection-string -Value secretref
$TemplateObj = New-AzContainerAppTemplateObject -Name myQueueApp -Image demos/myQueueApp:v1 -Env $EnvVarObjQueue, $EnvVarObjConn

$ContainerAppArgs = @{
    Name = 'myQueueApp'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

W tym miejscu zmienna środowiskowa o nazwie ConnectionString pobiera swoją wartość z wpisu tajnego na poziomie $QueueConnectionString aplikacji.

Instalowanie wpisów tajnych w woluminie

Po zadeklarowaniu wpisów tajnych na poziomie aplikacji zgodnie z opisem w sekcji Definiujące wpisy tajne można odwoływać się do nich w instalacjach woluminów podczas tworzenia nowej poprawki w aplikacji kontenera. Podczas instalowania wpisów tajnych w woluminie każdy wpis tajny jest instalowany jako plik w woluminie. Nazwa pliku jest nazwą wpisu tajnego, a zawartość pliku jest wartością wpisu tajnego. Możesz załadować wszystkie wpisy tajne w instalacji woluminu lub załadować określone wpisy tajne.

Przykład

Witryna Azure Portal

Po zdefiniowaniu wpisu tajnego w aplikacji kontenera można odwoływać się do niego w instalacji woluminu podczas tworzenia nowej poprawki.

1. Przejdź do aplikacji kontenera w witrynie Azure Portal.

2. Otwórz stronę Zarządzanie poprawkami.

3. Wybierz pozycję Utwórz nową poprawkę.

4. Na stronie Tworzenie i wdrażanie nowej poprawki.

5. Wybierz kontener i wybierz pozycję Edytuj.

6. W sekcji Instalowanie woluminów rozwiń sekcję Wpisy tajne.

7. Wybierz pozycję Utwórz nowy wolumin.

8. Wprowadź następujące informacje:

   • Nazwa: mysecrets
   • Zainstaluj wszystkie wpisy tajne: włączone

   Uwaga

   Jeśli chcesz załadować określone wpisy tajne, wyłącz opcję Zainstaluj wszystkie wpisy tajne i wybierz wpisy tajne, które chcesz załadować.

9. Wybierz pozycję Dodaj.

10. W obszarze Nazwa woluminu wybierz pozycję mysecrets.

11. W obszarze Ścieżka instalacji wprowadź / mnt/secrets.

12. Wybierz pozycję Zapisz.

13. Wybierz pozycję Utwórz , aby utworzyć nową poprawkę z instalacją woluminu.

Szablon usługi ARM

W tym przykładzie dwa wpisy tajne są deklarowane na poziomie aplikacji. Te wpisy tajne są instalowane w woluminie o nazwie mysecrets typu Secret. Wolumin jest instalowany w ścieżce /mnt/secrets. Następnie aplikacja może odwoływać się do wpisów tajnych w instalacji woluminu.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "queue-connection-string": {
            "type": "Securestring"
        },
        "api-key": {
            "type": "Securestring"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-11-01-preview",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                    {
                        "name": "queue-connection-string",
                        "value": "[parameters('queue-connection-string')]"
                    },
                    {
                        "name": "api-key",
                        "value": "[parameters('api-key')]"
                    }
                ]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "volumeMounts": [
                            {
                                "name": "mysecrets",
                                "mountPath": "/mnt/secrets"
                            }
                        ]
                    }
                ],
                "volumes": [
                    {
                        "name": "mysecrets",
                        "storageType": "Secret"
                    }
                ]
            }
        }
    }]
}

Aby załadować określone wpisy tajne i określić ich ścieżki w zainstalowanym woluminie, należy zdefiniować wpisy tajne w secrets tablicy obiektu woluminu. W poniższym przykładzie pokazano, jak załadować tylko queue-connection-string wpis tajny w instalacji woluminu mysecrets o nazwie connection-string.txtpliku .

{
    "properties": {
        ...
        "configuration": {
            ...
            "secrets": [
                {
                    "name": "queue-connection-string",
                    "value": "[parameters('queue-connection-string')]"
                },
                {
                    "name": "api-key",
                    "value": "[parameters('api-key')]"
                }
            ]
        },
        "template": {
            "containers": [
                {
                    "image": "myregistry/myQueueApp:v1",
                    "name": "myQueueApp",
                    "volumeMounts": [
                        {
                            "name": "mysecrets",
                            "mountPath": "/mnt/secrets"
                        }
                    ]
                }
            ],
            "volumes": [
                {
                    "name": "mysecrets",
                    "storageType": "Secret",
                    "secrets": [
                        {
                            "secretRef": "queue-connection-string",
                            "path": "connection-string.txt"
                        }
                    ]
                }
            ]
        }
        ...
    }
    ...
}

W aplikacji możesz odczytać wpis tajny z pliku znajdującego się w /mnt/secrets/connection-string.txtlokalizacji .

Interfejs wiersza polecenia platformy Azure

W tym przykładzie dwa wpisy tajne są deklarowane na poziomie aplikacji. Te wpisy tajne są instalowane w woluminie o nazwie mysecrets typu Secret. Wolumin jest instalowany w ścieżce /mnt/secrets. Aplikacja może następnie odczytywać wpisy tajne jako pliki w instalacji woluminu.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --secrets "queue-connection-string=$CONNECTIONSTRING" "api-key=$API_KEY" \
  --secret-volume-mount "/mnt/secrets"

Aby załadować określone wpisy tajne i określić ich ścieżki w zainstalowanym woluminie, zdefiniuj aplikację przy użyciu kodu YAML.

Program PowerShell

Instalowanie wpisów tajnych jako woluminu nie jest obsługiwane w programie PowerShell.

Następne kroki

Kontenery