Краткое руководство. Подключение служб Azure и хранение секретов в Azure Key Vault

Azure Key Vault — это облачная служба, которая предоставляет защищенное хранилище для секретов. Вы можете безопасно хранить ключи, пароли, сертификаты и другие секреты. При создании подключения службы вы можете безопасно сохранить ключи доступа и секреты в подключенном хранилище Key Vault. В этом учебнике вы выполните перечисленные ниже задачи с помощью портала Azure. Оба метода описаны в следующих процедурах.

• Создание подключения службы к Azure Key Vault в Службе приложений Azure
• Создание подключения службы к Хранилищу BLOB-объектов Azure и сохранение секретов в Key Vault
• Просмотр секретов в Key Vault

Необходимые компоненты

Чтобы создать подключение службы и сохранить секреты в Key Vault с помощью Service Connector, вам потребуется следующее:

• базовые знания об использовании соединителя сервисов;
• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• приложение, размещенное в Службе приложений. Если у вас еще нет приложения, создайте и разверните приложение в Службе приложений.
• Azure Key Vault. Если у вас ее еще нет учетной записи Azure Key Vault, создайте ее.
• Еще один (целевой) экземпляр службы, поддерживаемый соединителем сервисов. В этом учебнике вы примените для этих целей Хранилище BLOB-объектов Azure.
• Доступ на чтение и запись к Службе приложений, Key Vault и целевой службе.

Создание подключения к Key Vault в Службе приложений

Чтобы сохранить ключи доступа и секреты для подключения в хранилище ключей, для начала подключите Службу приложений к выбранному хранилищу ключей.

1. В портал Azure введите Служба приложений в меню поиска и выберите имя Служба приложений, которую вы хотите использовать в списке.

2. В таблице слева от списка содержимого выберите Соединитель сервисов. Затем выберите Создать.

3. Введите или выберите указанные ниже значения параметров.

   Параметр	Предлагаемое значение	Description
   тип услуги;	Key Vault	Тип целевой службы. Если у вас нет Key Vault, создайте его.
   Подписка	Любая из ваших подписок.	Подписка, в которой развернута целевая служба. Целевой здесь считается та служба, к которой вы намерены подключиться. По умолчанию используется подписка, указанная для выбранной Службы приложений.
   Имя подключения	Созданное уникальное имя	Имя подключения, идентифицирующее соединение между вашей Службой приложений и целевой службой.
   Имя хранилища ключей	Имя Хранилища ключей	Целевой экземпляр Key Vault, к которому вы намерены подключиться.
   Тип клиента	Тот же стек приложений в этой Службе приложений	Стек приложений, который работает с выбранной целевой службой. Значение по умолчанию берется из стека среды выполнения Службы приложений.

4. Выберите Далее: Проверка подлинности, чтобы выбрать тип проверки подлинности. Затем выберите Управляемое удостоверение, назначаемое системой, чтобы подключить Key Vault.

5. Щелкните Далее: Сеть, чтобы выбрать конфигурацию сети. Затем выберите Включить параметры брандмауэра, чтобы изменить список разрешений брандмауэра для Key Vault, добавив разрешения на подключение Службы приложений к Key Vault.

6. Затем щелкните Далее: Проверка и создание, чтобы проверить предоставленные сведения. Теперь щелкните Создать, чтобы создать подключение службы. Выполнение этой операции может занять одну минуту.

Создание подключения к Хранилищу BLOB-объектов в Службе приложений и сохранение ключей доступа в Key Vault

Теперь вы готовы создать подключение службы к другой целевой службе и напрямую сохранить ключи доступа в подключенном Key Vault, указав строку подключения и ключ доступа или субъект-службу для проверки подлинности. В качестве примера ниже мы будем использовать Хранилище BLOB-объектов. Выполните тот же процесс для других целевых служб.

1. В портал Azure введите Служба приложений в меню поиска и выберите имя Служба приложений, которую вы хотите использовать в списке.

2. В таблице слева от списка содержимого выберите Соединитель сервисов. Затем выберите Создать.

3. Введите или выберите указанные ниже значения параметров.

   Параметр	Предлагаемое значение	Description
   тип услуги;	Хранилище BLOB-объектов	Тип целевой службы. Если у вас нет контейнера BLOB-объектов службы хранилища, вы можете создать его или использовать другой тип службы.
   Подписка	Одна из ваших подписок	Подписка, в которой развернута целевая служба. Целевой здесь считается та служба, к которой вы намерены подключиться. По умолчанию используется подписка, указанная для выбранной Службы приложений.
   Имя подключения	Созданное уникальное имя	Имя подключения, идентифицирующее соединение между Службой приложений и целевой службой.
   Учетная запись хранения	Ваша учетная запись хранения	Целевая учетная запись хранения, к которой необходимо подключиться. Если вы выбрали службу другого типа, укажите соответствующий экземпляр целевой службы.
   Тип клиента	Тот же стек приложений в этой Службе приложений	Стек приложений, который работает с выбранной целевой службой. Значение по умолчанию берется из стека среды выполнения Службы приложений.

4. Настройка проверки подлинности

   Строка соединения

   Нажмите кнопку "Далее": проверка подлинности, чтобы выбрать тип проверки подлинности и выбрать строку подключения, чтобы использовать ключ доступа для подключения учетной записи хранения.

   Параметр	Предлагаемое значение	Description
   Сохранение секрета в Key Vault	Проверить	Этот вариант позволяет соединителю сервисов сохранить строку подключения или ключ доступа в предоставленном Key Vault.
   Подключение Key Vault	Одно из подключений к Key Vault	Выберите тот Key Vault, в котором вы намерены сохранить строку подключения или ключ доступа.

   Субъект-служба

   Нажмите кнопку "Далее" для выбора типа проверки подлинности и выбора субъекта-службы для подключения учетной записи хранения.

   Параметр	Предлагаемое значение	Description
   Имя или идентификатор объекта субъекта-службы	Выберите из списка субъект-службу, который вы хотите использовать для подключения к Хранилищу BLOB-объектов.	Субъект-служба в подписке, который используется для подключения к целевой службе.
   Сохранение секрета в Key Vault	Проверить	Этот вариант позволяет соединителю сервисов сохранить секрет и идентификатор субъекта-службы в Key Vault.
   Подключение Key Vault	Одно из подключений к хранилищу ключей	Выберите Key Vault, в которой вы хотите секрет и сохранить идентификатор субъекта-службы.

5. Нажмите кнопку "Далее": параметры сети и включения параметров брандмауэра для обновления списка разрешений брандмауэра в Key Vault, чтобы Служба приложений могли получить доступ к Key Vault.

6. Затем щелкните Далее: Проверка и создание, чтобы проверить предоставленные сведения.

7. Теперь щелкните Создать, чтобы создать подключение службы. Для завершения операции может потребоваться до одной минуты.

Просмотр конфигурации в Key Vault

1. Разверните подключение к Хранилищу BLOB-объектов и щелкните Hidden value. Click to show value (Скрытое значение. Щелкните, чтобы показать его). Вы увидите, что это значение ссылается на Key Vault.

2. Выберите Key Vault в столбце "Тип службы" для подключения к Key Vault. Вы перейдете на страницу портала Key Vault.

3. Щелкните Секреты в левой части таблицы содержимого для Key Vault и выберите имя секрета для Хранилища BLOB-объектов.

   Совет

   У вас нет разрешений на получение списка секретов? См. сведения об устранении неполадок Azure Key Vault.

4. Выберите идентификатор версии из списка текущих версий.

5. Выберите "Показать секретное значение", чтобы получить строка подключения этого подключения к хранилищу BLOB-объектов.

Очистка ресурсов

Если группа ресурсов и связанные с ней ресурсы, созданные для этого учебника, вам больше не нужны, удалите из. Для этого выберите группу ресурсов или отдельные ресурсы, которые вы создали ранее, и щелкните Удалить.

Следующие шаги

Внутренние компоненты соединителя служб