Proteger segredos de autenticação no Azure Key Vault
Ao configurar provedores de autenticação personalizados, talvez você queira armazenar segredos de conexão no Azure Key Vault. Este artigo demonstra como usar uma identidade gerenciada para conceder acesso a Aplicativos Web Estáticos do Azure ao Key Vault para segredos de autenticação personalizados.
Observação
As funções sem servidor do Azure não dão suporte à integração direta do Key Vault. Se você precisar da integração do Key Vault ao seu aplicativo de funções gerenciada, a implementação do acesso do Key Vault ao código do aplicativo será necessária.
Os segredos de segurança exigem que os itens a seguir estejam em uso.
- Crie uma identidade atribuída pelo sistema na instância de Aplicativos Web Estáticos.
- Conceder à identidade o acesso ao segredo do Key Vault.
- Consulte o segredo do Key Vault a partir das configurações do aplicativo Aplicativos Web Estáticos.
Este artigo demonstra como configurar cada um desses itens em produção para trazer seus próprios aplicativos de funções.
A integração do Key Vault não está disponível para:
- Versões de preparo do seu aplicativo Web estático. Há suporte apenas para a integração do Cofre da Chave no ambiente de produção.
- Aplicativos Web estáticos usando funções gerenciadas.
Observação
O uso de identidade gerenciada só está disponível no plano Standard do Aplicativos Web Estáticos do Azure.
Pré-requisitos
- Site existente dos Aplicativos Web Estáticos do Azure usando traga suas próprias funções.
- Recurso de Key Vault existente com um valor de segredo.
Criar a identidade
Abra seu site de Aplicativos Web Estáticos no portal do Azure.
No menu Configurações, selecione Identidade.
Selecione a guia Atribuído pelo sistema.
No rótulo Status, selecione Ativado.
Selecione Salvar.
Quando a caixa de diálogo de confirmação for exibida, Escolha Sim.
Agora você pode adicionar uma política de acesso para permitir que seu aplicativo Web estático leia segredos do Key Vault.
Adicionar uma política de acesso do Key Vault
No portal do Azure, abra o recurso do Azure.
No menu Configurações, selecione Políticas de acesso.
Selecione o link Adicionar política de acesso.
Na lista suspensa Permissões secretas, selecione Obter.
Ao lado da etiqueta Selecionar entidade de segurança, selecione o link Nenhum selecionado.
Na caixa de pesquisa, insira o nome do aplicativo Aplicativos Web Estáticos.
Selecione o item de lista que corresponde ao nome do aplicativo.
Escolha Selecionar.
Selecione Adicionar.
Clique em Salvar.
Agora a política de acesso está salva no Key Vault. Em seguida, acesse o URI do segredo a ser usado ao associar seu aplicativo Web estático ao recurso do Key Vault.
No menu Configurações, selecione Segredos.
Na lista, escolha o segredo desejado.
Na lista, escolha a versão de segredo desejado.
Selecione Copiar no final da caixa de texto Identificador de segredo para copiar o valor do URI do segredo para a área de transferência.
Cole o valor em um editor de texto para uso posterior.
Adicionar uma configuração de aplicativo
Abra seu site de Aplicativos Web Estáticos no portal do Azure.
No menu Configurações, selecione Configuração.
Na seção Configurações de aplicativo, selecione Adicionar.
Insira um nome na caixa de texto do campo Nome.
Determine o valor do segredo na caixa de texto do campo Valor.
O valor do segredo é uma composição de alguns valores diferentes. O modelo a seguir mostra como a cadeia de caracteres final é criada.
@Microsoft.KeyVault(SecretUri=<YOUR-KEY-VAULT-SECRET-URI>)Por exemplo, uma cadeia de caracteres final seria semelhante ao seguinte exemplo:
@Microsoft.KeyVault(SecretUri=https://myvault.vault.azure.net/secrets/mysecret/)Como alternativa:
@Microsoft.KeyVault(VaultName=myvault;SecretName=mysecret)Use as etapas a seguir para criar o valor de segredo completo.
Copie o modelo acima e cole-o em um editor de texto.
Substitua
<YOUR-KEY-VAULT-SECRET-URI>pelo valor do URI do Key Vault que você anotou em uma etapa anterior.Copie o novo valor de cadeia de caracteres completo.
Cole o valor na caixa de texto do campo Valor.
Selecione OK.
Selecione Salvar na parte superior da barra de ferramentas de Configurações de aplicativo.
Agora, quando a configuração de autenticação personalizada faz referência à configuração de aplicativo recém-criada, o valor é extraído de Azure Key Vault usando a identidade do aplicativo Web estático.