Руководство. Хранение и использование учетных данных Azure Cosmos DB с Azure Key Vault

Область применения: Nosql Mongodb Кассандра Гремлин Таблица

Внимание

Для доступа к Azure Cosmos DB рекомендуется использовать управляемое удостоверение, назначаемое системой. Если решение управляемого удостоверения и решение на основе сертификатов не соответствуют вашим потребностям, используйте решение Azure Key Vault в этой статье.

Если вы используете Azure Cosmos DB в качестве базы данных, подключитесь к базам данных, контейнерам и элементам с помощью пакета SDK, конечной точки API и первичного или вторичного ключа.

Не рекомендуется хранить URI конечной точки и конфиденциальные ключи чтения и записи непосредственно в коде приложения или файле конфигурации. В идеале эти данные считываются из переменных среды в узле. В службе приложение Azure параметры приложения позволяют внедрять учетные данные среды выполнения для учетной записи Azure Cosmos DB без необходимости хранить эти учетные данные в небезопасном виде текста.

Azure Key Vault выполняет итерацию по этой рекомендации, позволяя безопасно хранить эти учетные данные, предоставляя такие службы, как приложение Azure служба, управляемый доступ к учетным данным. приложение Azure служба безопасно считывает учетные данные из Azure Key Vault и внедряет эти учетные данные в работающее приложение.

С помощью этой рекомендации разработчики могут хранить учетные данные для таких средств, как эмулятор Azure Cosmos DB или попробовать Azure Cosmos DB бесплатно во время разработки. Затем команда операций может убедиться, что правильные рабочие параметры внедряются во время выполнения.

В этом руководстве описано следующее:

• Создайте экземпляр Azure Key Vault
• Добавление учетных данных Azure Cosmos DB в качестве секретов в хранилище ключей
• Создание и регистрация ресурса службы приложение Azure и предоставление разрешений на чтение ключа
• Внедрение секретов хранилища ключей в ресурс Служба приложений

Примечание.

В этом руководстве и примере приложения используется учетная запись Azure Cosmos DB для NoSQL. Вы можете выполнить многие из этих же действий с помощью других API.

Необходимые компоненты

• Существующая учетная запись Azure Cosmos DB для NoSQL.
  • Если у вас есть подписка Azure, создайте новую учетную запись.
  • Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.
  • Кроме того, перед фиксацией можно воспользоваться бесплатной службой Azure Cosmos DB.
• Учетная запись GitHub.

Перед началом работы: получение учетных данных Azure Cosmos DB

Перед началом работы вы получите учетные данные для существующей учетной записи.

1. Перейдите на страницу портал Azure для существующей учетной записи Azure Cosmos DB для NoSQL.

2. На странице учетной записи Azure Cosmos DB для NoSQL выберите пункт меню навигации "Ключи ".

   

3. Запишите значения полей URI и PRIMARY KEY. Эти значения будут использоваться далее в этом руководстве.

   

Создание ресурса Azure Key Vault

Сначала создайте новое хранилище ключей для хранения учетных данных API для NoSQL.

1. Войдите на портал Azure.

2. Выберите Создать ресурс > Безопасность > Key Vault.

3. На странице "Создание хранилища ключей" введите следующие сведения:

   Параметр	Description
   Подписка	Выберите подписку Azure, которую нужно использовать для этой учетной записи Azure Cosmos.
   Группа ресурсов	Выберите группу ресурсов или Создать, затем введите уникальное имя для новой группы ресурсов.
   Имя хранилища ключей	Введите глобально уникальное имя хранилища ключей.
   Регион	Выберите географическое расположение для размещения учетной записи Azure Cosmos DB. Используйте ближайшее к пользователям расположение, чтобы предоставить им максимально быстрый доступ к данным.
   Ценовая категория	Выберите Стандартное.

4. Оставьте оставшиеся параметры значениями по умолчанию.

5. Выберите Review + create (Просмотреть и создать).

6. Просмотрите указанные параметры и выберите Создать. Создание учетной записи занимает несколько минут. Прежде чем продолжить, дождитесь, пока на странице портала появится сообщение Развертывание выполнено.

добавление ключей доступа Azure Cosmos DB в Key Vault;

Теперь сохраните учетные данные Azure Cosmos DB в качестве секретов в хранилище ключей.

1. Выберите "Перейти к ресурсу ", чтобы перейти на страницу ресурсов Azure Key Vault.

2. На странице ресурсов Azure Key Vault выберите пункт меню навигации "Секреты ".

3. Выберите " Создать и импортировать " в меню.

   

4. На странице "Создание секрета" введите следующие сведения:

   Параметр	Description
   Параметры отправки	Вручную
   Имя	cosmos-endpoint
   Значение секрета	Введите URI, скопированный ранее в этом руководстве.

   

5. Выберите "Создать", чтобы создать новый секрет cosmos-endpoint .

6. Снова выберите " Создать и импортировать " в меню. На странице "Создание секрета" введите следующие сведения:

   Параметр	Description
   Параметры отправки	Вручную
   Имя	cosmos-readwrite-key
   Значение секрета	Введите первичный ключ , скопированный ранее в этом руководстве.

   

7. Выберите "Создать", чтобы создать новый секрет cosmos-readwrite-key .

8. После создания секретов просмотрите их в списке секретов на странице секретов .

   

9. Выберите каждый ключ, выберите последнюю версию и скопируйте идентификатор секрета. Вы будете использовать идентификатор для секретов cosmos-endpoint и cosmos-readwrite-key далее в этом руководстве.

   Совет

   Идентификатор секрета будет находиться в этом формате https://<key-vault-name>.vault.azure.net/secrets/<secret-name>/<version-id>. Например, если имя хранилища ключей — msdocs-key-vault, имя ключа — cosmos-readwrite-key, а версия, если 83b95e363d9999ac6cf4887ae0e12e; то будет идентификатор https://msdocs-key-vault.vault.azure.net/secrets/cosmos-readwrite-key/83b995e363d947999ac6cf487ae0e12eсекрета.

   

Создание и регистрация веб-приложения Azure в Azure Key Vault

В этом разделе описано, как создать веб-приложение Azure, развернуть пример приложения и зарегистрировать управляемое удостоверение веб-приложения в Azure Key Vault.

1. Создайте репозиторий GitHub с помощью шаблона cosmos-db-nosql-dotnet-sample-web-environment-variables.

2. В портал Azure выберите "Создать веб-приложение >ресурса>".

3. На вкладке "Создание веб-приложения" и "Основы" введите следующие сведения:

   Параметр	Description
   Подписка	Выберите подписку Azure, которую нужно использовать для этой учетной записи Azure Cosmos.
   Группа ресурсов	Выберите группу ресурсов или Создать, затем введите уникальное имя для новой группы ресурсов.
   Имя	Введите глобально уникальное имя веб-приложения.
   Опубликовать	Выберите Код.
   Стек среды выполнения	Выберите .NET 6 (LTS).
   Операционная система	Выберите Windows.
   Регион	Выберите географическое расположение для размещения учетной записи Azure Cosmos DB. Используйте ближайшее к пользователям расположение, чтобы предоставить им максимально быстрый доступ к данным.

4. Оставьте оставшиеся параметры значениями по умолчанию.

5. Нажмите кнопку "Далее": развертывание.

6. На вкладке "Развертывание" введите следующие сведения:

   Параметр	Description
   Непрерывное развертывание	Выберите Включить.
   Учетная запись GitHub	Выберите Разрешить. Следуйте инструкциям по авторизации учетной записи GitHub, чтобы предоставить Azure разрешение на чтение созданного репозитория GitHub.
   Предприятие	Выберите организацию для нового репозитория GitHub.
   Репозиторий	Выберите имя нового репозитория GitHub.
   Ветвь	Выберите Main.

7. Выберите Review + create (Просмотреть и создать).

8. Просмотрите указанные параметры и выберите Создать. Создание учетной записи занимает несколько минут. Прежде чем продолжить, дождитесь, пока на странице портала появится сообщение Развертывание выполнено.

9. Возможно, потребуется подождите несколько дополнительных минут, чтобы веб-приложение было первоначально развернуто в веб-приложении. На странице ресурсов веб-приложения Azure нажмите кнопку "Обзор ", чтобы просмотреть состояние приложения по умолчанию.

   

10. Выберите пункт меню навигации удостоверений.

11. На странице "Удостоверение" выберите "Вкл. Для управляемого удостоверения, назначаемого системой", а затем нажмите кнопку "Сохранить".

    

Внедрение секретов Azure Key Vault в качестве параметров веб-приложения Azure

Наконец, вставьте секреты, хранящиеся в хранилище ключей в качестве параметров приложения в веб-приложении. Параметры приложения, в свою очередь, внедряют учетные данные в приложение во время выполнения, не сохраняя учетные данные в виде ясного текста.

1. Вернитесь на страницу хранилища ключей в портал Azure. Выберите политики доступа в меню навигации.

2. На странице "Политики доступа" выберите "Создать" в меню.

   

3. На вкладке "Разрешения" на странице "Создание политики доступа" выберите параметр "Получить" в разделе "Разрешения секрета". Выберите Далее.

   

4. На вкладке "Субъект" выберите имя веб-приложения, созданного ранее в этом руководстве. Выберите Далее.

   

   Примечание.

   В этом примере снимок экрана: веб-приложение называется msdocs-dotnet-web.

5. Нажмите кнопку "Далее ", чтобы пропустить вкладку "Приложение ". На вкладке "Просмотр и создание " просмотрите предоставленные параметры и нажмите кнопку "Создать".

6. Вернитесь на страницу веб-приложения в портал Azure. Выберите "Конфигурация" в меню навигации .

7. На странице "Конфигурация" выберите "Создать приложение". В диалоговом окне "Добавление и изменение параметра приложения" введите следующие сведения:

   Параметр	Description
   Имя	CREDENTIALS__ENDPOINT
   Ключ	Получите идентификаторсекрета для секрета cosmos-endpoint в хранилище ключей, созданном ранее в этом руководстве. Введите идентификатор в следующем формате: @Microsoft.KeyVault(SecretUri=<secret-identifier>)

   Совет

   Убедитесь, что переменная среды имеет двойное значение подчеркивания (__) вместо одного подчеркивания. Двойной подчеркивание — это делиметр ключа, поддерживаемый .NET на всех платформах. Дополнительные сведения см . в разделе конфигурации переменных среды.

   Примечание.

   Например, если идентификатор секрета имеется https://msdocs-key-vault.vault.azure.net/secrets/cosmos-endpoint/69621c59ef5b4b7294b5def118921b07, то ссылка будет @Microsoft.KeyVault(SecretUri=https://msdocs-key-vault.vault.azure.net/secrets/cosmos-endpoint/69621c59ef5b4b7294b5def118921b07).

   

8. Нажмите кнопку "ОК ", чтобы сохранить новый параметр приложения

9. Снова нажмите кнопку "Создать приложение ". В диалоговом окне "Добавление и изменение параметра приложения" введите следующие сведения и нажмите кнопку "ОК".

   Параметр	Description
   Имя	CREDENTIALS__KEY
   Ключ	Получите идентификатор секрета для секрета cosmos-readwrite-key в хранилище ключей, созданном ранее в этом руководстве. Введите идентификатор в следующем формате: @Microsoft.KeyVault(SecretUri=<secret-identifier>)

10. На странице "Конфигурация" нажмите кнопку "Сохранить", чтобы обновить параметры приложения для веб-приложения.

    

11. Подождите несколько минут, пока веб-приложение перезагрузится с помощью новых параметров приложения. На этом этапе новые параметры приложения должны указывать на то, что они являются ссылкой на хранилище ключей.

    

12. Выберите "Обзор" в меню навигации. Выберите "Обзор" , чтобы увидеть приложение с заполненными учетными данными.

    

Следующие шаги

• Сведения о настройке брандмауэра для Azure Cosmos DB см. в статье Поддержка брандмауэра для Azure Cosmos DB.
• Чтобы настроить конечную точку службы для виртуальной сети, перейдите к статье Безопасный доступ к учетной записи Azure Cosmos DB с использованием конечной точки службы для виртуальной сети Azure.