ใช้ตัวแปรสภาพแวดล้อมสำหรับ Azure Key Vault secrets

ตัวแปรสภาพแวดล้อมอนุญาตให้อ้างอิงข้อมูลลับที่เก็บไว้ใน Azure Key Vault ข้อมูลลับเหล่านี้จะถูกทำให้พร้อมสำหรับการใช้ภายในโฟลว์ Power Automate และตัวเชื่อมต่อแบบกำหนดเอง โปรดสังเกตว่าข้อมูลลับไม่สามารถใช้งานสำหรับการแก้ไข/ปรับปรุงตามคำสั่งอื่นๆ หรือการใช้โดยทั่วไปผ่าน API

ข้อมูลลับจริงจะถูกเก็บไว้ใน Azure Key Vault เท่านั้น และตัวแปรสภาพแวดล้อมจะอ้างอิงถึงที่ตั้งข้อมูลลับของ Key Vault การใช้ข้อมูลลับของ Azure Key Vault กับตัวแปรสภาพแวดล้อม จำเป็นต้องให้คุณกำหนดค่า Azure Key Vault เพื่อให้ Power Platform สามารถอ่านข้อมูลลับเฉพาะที่คุณต้องการอ้างอิงได้

ขณะนี้ตัวแปรสภาพแวดล้อมที่อ้างอิงข้อมูลลับไม่พร้อมใช้งานจากตัวเลือกเนื้อหาแบบไดนามิกสำหรับใช้ในโฟลว์

กำหนดค่า Azure Key Vault

ในการใช้ข้อมูลลับของ Azure Key Vault กับ Power Platform การสมัครใช้งาน Azure ที่มี Vault ต้องมีผู้ให้บริการทรัพยากรของ PowerPlatform ที่ลงทะเบียนแล้ว และผู้ใช้ที่สร้างตัวแปรสภาพแวดล้อมต้องมีสิทธิ์ที่เหมาะสมกับทรัพยากร Azure Key Vault

หมายเหตุ

• เราเพิ่งเปลี่ยนบทบาทความปลอดภัยที่เราใช้เพื่อยืนยันสิทธิ์การเข้าถึงภายใน Azure Key Vault คำแนะนำก่อนหน้านี้รวมถึงการกำหนดบทบาทผู้อ่าน Key Vault หากคุณได้ตั้งค่า Key Vault ของคุณก่อนหน้านี้ด้วยบทบาทผู้อ่าน Key Vault ตรวจสอบให้แน่ใจว่าคุณได้เพิ่มบทบาทผู้ใช้ข้อมูลลับ Key Vault เพื่อให้แน่ใจว่าผู้ใช้ของคุณและ Dataverse มีสิทธิ์เพียงพอในการดึงข้อมูลลับ
• เราทราบดีว่าบริการของเรากำลังใช้ API การควบคุมการเข้าถึงตามบทบาทของ Azure เพื่อประเมินการกำหนดบทบาทความปลอดภัย แม้ว่าคุณจะยังคงกำหนดค่า Key Vault ของคุณให้ใช้รูปแบบสิทธิ์ของนโยบายการเข้าถึงชุดเก็บข้อมูลประจำตัว เพื่อให้การกำหนดค่าของคุณง่ายขึ้น เราขอแนะนำให้คุณเปลี่ยนรูปแบบสิทธิ์ของชุดเก็บข้อมูลประจำตัวเป็นการควบคุมการเข้าถึงตามบทบาทของ Azure คุณสามารถดำเนินการนี้ได้ในแท็บการกำหนดค่าการเข้าถึง

1. ลงทะเบียนผู้ให้บริการทรัพยากรของ Microsoft.PowerPlatform ในการสมัครใช้งาน Azure ของคุณ ทำตามขั้นตอนเหล่านี้เพื่อตรวจสอบและกำหนดค่า: ผู้ให้บริการทรัพยากรและชนิดทรัพยากร

   

2. สร้าง vault ของ Azure Key Vault พิจารณาการใช้ vault ที่แยกต่างหากสำหรับสภาพแวดล้อม Power Platform ทั้งหมดเพื่อลดภัยคุกคามในกรณีที่มีการละเมิด พิจารณาการกำหนดค่า Key Vault ของคุณเพื่อใช้ การควบคุมการเข้าถึงตามบทบาท Azure สำหรับ รูปแบบการอนุญาต ข้อมูลเพิ่มเติม แบบทดสอบที่ดีที่สุดในการใช้ Azure Key Vault, เริ่มต้นใช้งานด่วน - สร้าง Azure Key Vault ด้วยพอร์ทับ Azure

3. ผู้ใช้ที่สร้างหรือใช้ตัวแปรสภาพแวดล้อมชนิดข้อมูลลับต้องมีสิทธิ์ในการดึงเนื้อหาข้อมูลลับ ในการให้ผู้ใช้ใหม่สามารถใช้ข้อมูลลับได้ ให้เลือกพื้นที่ การควบคุมการเข้าถึง (IAM) เลือก เพิ่ม จากนั้นเลือก เพิ่มการกำหนดบทบาท จากรายการดรอปดาวน์ ข้อมูลเพิ่มเติม: ให้การเข้าถึงคีย์ Key Vault, ใบรับรอง และข้อมูลลับด้วยการควบคุมการเข้าถึงตามบทบาทของ Azure

   

4. บนตัวช่วยสร้าง เพิ่มการกำหนดบทบาท ปล่อยให้ชนิดการกำหนดบทบาทเริ่มต้นเป็น บทบาทของขอบเขตงาน และดำเนินการต่อบนแท็บ บทบาท ค้นหา บทบาทผู้ใช้สำหรับข้อมูลลับ Key Vault และเลือก ไปที่แท็บสมาชิก แล้วเลือกลิงก์ เลือกสมาชิก และค้นหาผู้ใช้ในแผงด้านข้าง เมื่อคุณเลือกผู้ใช้แล้วและแสดงในส่วนสมาชิก ให้ไปที่แท็บตรวจสแบและกำหนด และทำตามตัวช่วยสร้างให้เสร็จสิ้น

5. Azure Key Vault ต้องมีบทบาท ผู้ใช้ข้อมูลลับ Key Vault ที่มอบให้กับบริการหลัก Dataverse หากไม่มีสำหรับชุดเก็บข้อมูลประจำตัวนี้ ให้เพิ่มนโยบายการเข้าถึงใหม่โดยใช้วิธีการเดียวกับที่คุณใช้ก่อนหน้านี้สำหรับสิทธิ์ของผู้ใช้ โดยใช้เฉพาะข้อมูลประจำตัวของแอปพลิเคชัน Dataverse แทนผู้ใช้ หากคุณมีบริการหลัก Dataverse หลายรายการในผู้เช่าของคุณ เราขอแนะนำให้คุณเลือกทั้งหมดและบันทึกการกำหนดบทบาท เมื่อกำหนดบทบาทแล้ว ให้ตรวจสอบแต่ละรายการ Dataverse ที่แสดงในรายการการกำหนดบทบาท และเลือกชื่อ Dataverse เพื่อดูรายละเอียด หาก Application ID ไม่ได้เป็น 00000007-0000-0000-c000-000000000000 จากนั้นเลือกข้อมูลประจำตัว และเลือก ลบออก เพื่อลบออกจากรายการ

6. หากคุณเปิดการใช้งาน Azure Key Vault Firewall คุณต้องยินยอมให้ที่อยู่ IP ของ Power Platform เข้าถึง key vault ของคุณ Power Platform ไม่รวมอยู่ในตัวเลือก "Trusted Services Only" ดังนั้น โปรดดูบทความ Power Platform ขอบเขต URLs และที่อยู่ IP สำหรับที่อยู่ IP ปัจจุบันที่ใช้ในบริการ

7. หากคุณยังไม่ได้ดำเนินการดังกล่าว ให้เพิ่มข้อมูลลับใน vault ใหม่ของคุณ ข้อมูลเพิ่มเติม: เริ่มต้นใช้งานด่วน Azure - ตั้งค่าและดึงข้อมูลลับจาก Azure Key Vault โดยใช้พอร์ทัล Azure

สร้างตัวแปรสภาพแวดล้อมใหม่สำหรับข้อมูลลับของ Key Vault

เมื่อมีการกำหนดค่า Azure Key Vault และคุณมีข้อมูลลับที่ลงทะเบียนใน vault ของคุณแล้ว ขณะนี้คุณสามารถอ้างอิงได้ภายใน Power Apps โดยใช้ตัวแปรสภาพแวดล้อม

หมายเหตุ

• การตรวจสอบความถูกต้องของการเข้าถึงของผู้ใช้สำหรับข้อมูลลับจะถูกดำเนินการในเบื้องหลัง หากผู้ใช้ไม่มีสิทธิ์ในการอ่านเป็นอย่างน้อย ข้อผิดพลาดในการตรวจสอบนี้จะปรากฏขึ้น "ตัวแปรนี้บันทึกไม่ถูกต้อง ผู้ใช้ไม่ได้รับอนุญาตให้อ่านความลับจาก 'เส้นทาง Azure Key Vault'"
• ปัจจุบัน Azure Key Vault เป็นที่เก็บข้อมูลลับเพียงแห่งเดียวที่ได้รับการสนับสนุนด้วยตัวแปรสภาพแวดล้อม
• Azure Key Vault ต้องอยู่ในผู้เช่าเดียวกันกับการสมัครใช้งาน Power Platform ของคุณ

1. ลงชื่อเข้าใช้ Power Apps และในพื้นที่ โซลูชัน ให้เปิดโซลูชันที่ไม่มีการจัดการที่คุณใช้เพื่อการพัฒนา

2. เลือก สร้าง > เพิ่มเติม > ตัวแปรสภาพแวดล้อม

3. ป้อน ชื่อที่ใช้แสดง และสามารถเลือก คำอธิบาย สำหรับตัวแปรสภาพแวดล้อม

4. เลือก ชนิดข้อมูล เป็น ข้อมูลลับ และ ที่เก็บข้อมูลลับ เป็น Azure Key Vault

5. เลือกจากตัวเลือกดังต่อไปนี้:

   • เลือก การอ้างอิงค่า Azure Key Vault ใหม่ หลังจากเพิ่มข้อมูลในขั้นตอนต่อไปและบันทึกแล้ว เรกคอร์ด ค่า ตัวแปรสภาพแวดล้อมจะถูกสร้างขึ้น
   • ขยาย แสดงค่าเริ่มต้น เพื่อแสดงฟิลด์เพื่อสร้าง ข้อมูลลับของ Azure Key Vault เริ่มต้น หลังจากที่เพิ่มข้อมูลในขั้นตอนต่อไปและบันทึกแล้ว การกำหนดค่าเริ่มต้นถูกเพิ่มไปยังเรกคอร์ด ข้อกำหนด ของตัวแปรสภาพแวดล้อม

6. ใส่ข้อมูลต่อไปนี้:

   • ID การสมัครใช้งาน Azure: ID การสมัครใช้งาน Azure ที่เชื่อมโยงกับ key vault

   • ชื่อกลุ่มทรัพยากร: กลุ่มทรัพยากร Azure ที่มี key vault ที่มีข้อมูลลับอยู่

   • ชื่อ Azure Key Vault: ชื่อของ Key Vault ที่จัดเก็บข้อมูลลับ

   • ชื่อข้อมูลลับ: ชื่อของข้อมูลลับที่อยู่ใน Azure Key Vault

     เคล็ดลับ

     ID การสมัครใช้งาน, ชื่อกลุ่มทรัพยากร, และชื่อ key vault สามารถพบได้บนหน้า ภาพรวม ของพอร์ทัล Azure ของ key vault ชื่อข้อมูลลับสามารถพบได้บนหน้า key vault ในพอร์ทัล Azure โดยการเลือก ข้อมูลลับ ภายใต้ การตั้งค่า

7. เลือก บันทึก

สร้างโฟลว์ Power Automate เพื่อทดสอบข้อมูลลับของตัวแปรสภาพแวดล้อม

สถานการณ์ง่ายๆ ในการสาธิตวิธีใช้ข้อมูลลับที่ได้รับจาก Azure Key Vault คือการสร้างโฟลว์ Power Automate เพื่อใช้ข้อมูลลับในการตรวจสอบกับ Web Service

หมายเหตุ

URI สำหรับ Web service ในตัวอย่างนี้ไม่ได้เป็น Web service ที่ทำงาน

1. ลงชื่อเข้าใช้ PowerApps เลือก โซลูชัน และจากนั้น เปิดโซลูชันที่ไม่มีการจัดการที่คุณต้องการ หากรายการไม่อยู่ในบานหน้าต่างแผงด้านข้าง ให้เลือก …เพิ่มเติม แล้วเลือกรายการที่คุณต้องการ

2. เลือก ใหม่ > ระบบอัตโนมัติ > โฟลว์ระบบคลาวด์ > แบบทันที

3. ป้อนชื่อสำหรับโฟลว์ เลือก ทริกเกอร์โฟลว์ด้วยตนเอง แล้วจากนั้น เลือก สร้าง

4. เลือก ขั้นตอนใหม่ เลือกตัวเชื่อมต่อ Microsoft Dataverse แล้วจากนั้น บนแท็บ การดำเนินการ เลือก ทำการดำเนินการที่ไม่ถูกผูกไว้

5. เลือกการดำเนินการที่ชื่อ RetrieveEnvironmentVariableSecretValue จากรายการแบบหล่นลง

6. ระบุชื่อเฉพาะของตัวแปรสภาพแวดล้อม (ไม่ใช่ชื่อที่แสดง) ที่เพิ่มในส่วนก่อนหน้า สำหรับตัวอย่างนี้ new_TestSecret ถูกนำมาใช้

7. เลือก ... > เปลี่ยนชื่อ เพื่อเปลี่ยนชื่อการดำเนินการเพื่อให้สามารถอ้างอิงได้ง่ายขึ้นในการดำเนินการถัดไป ในภาพหน้าจอด้านล่าง มีการเปลี่ยนชื่อเป็น GetSecret

   

8. เลือก ... > การตั้งค่า เพื่อแสดงการตั้งค่าการดำเนินการ GetSecret

9. เปิดใช้งานตัวเลือก ผลลัพธ์ที่ปลอดภัย ในการตั้งค่า และจากนั้นเลือก เสร็จสิ้น นี่เป็นการป้องกันไม่ให้ผลลัพธ์ของการดำเนินการที่ถูกเปิดเผยในประวัติการเรียกใช้โฟลว์

   

10. เลือก ขั้นตอนใหม่ ค้นหา และเลือกตัวเชื่อมต่อ HTTP

11. เลือก วิธีการ เป็น GET และป้อน URI สำหรับบริการเว็บ ในตัวอย่างนี้ บริการเว็บสมมติ httpbin.org ถูกนำมาใช้

12. เลือก แสดงตัวเลือกขั้นสูง เลือก การรับรองความถูกต้อง เป็น พื้นฐาน แล้วจากนั้น ป้อน ชื่อผู้ใช้

13. เลือกฟิลด์ รหัสผ่าน แล้วจากนั้น บนแท็บ เนื้อหาแบบไดนามิก ภายใต้ชื่อขั้นตอนโฟลว์ด้านบน (GetSecret ในตัวอย่างนี้) เลือก RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue ซึ่งจะถูกเพิ่มเป็นนิพจน์ outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] หรือ body('GetSecretTest')['EnvironmentVariableSecretValue']

    

14. เลือก ... > การตั้งค่า เพื่อแสดงการตั้งค่าการดำเนินการ HTTP

15. เปิดใช้งานตัวเลือก อินพุตที่ปลอดภัย และ เอาท์พุตที่ปลอดภัย ในการตั้งค่า และจากนั้นเลือก เสร็จสิ้น การเปิดใช้งานตัวเลือกเหล่านี่เป็นการป้องกันไม่ให้อินพุตและเอาท์พุตของการดำเนินการถูกเปิดเผยในประวัติการเรียกใช้โฟลว์

16. เลือก บันทึก เพื่อสร้างโฟลว์

17. เรียกใช้โฟลว์เพื่อทดสอบด้วยตนเอง

    โดยใช้ประวัติการเรียกใช้ของโฟลว์ ผลลัพธ์สามารถตรวจสอบได้

    

ข้อจำกัด

• ตัวแปรสภาพแวดล้อมที่อ้างอิงข้อมูลลับของ Azure Key Vault ยังมีการจำกัดให้ใช้กับโฟลว์ Power Automate และตัวเชื่อมต่อแบบกำหนดเองเท่านั้น

ดูเพิ่มเติม

ใช้ตัวแปรสภาพแวดล้อมของแหล่งข้อมูลในแอปพื้นที่ทำงาน
ใช้ตัวแปรสภาพแวดล้อมในโฟลว์ระบบคลาวด์ของการแก้ไขปัญหา Power Automate
ภาพรวมของตัวแปรสภาพแวดล้อม

หมายเหตุ

บอกให้เราทราบเกี่ยวกับภาษาที่คุณต้องการในคู่มือ ทำแบบสำรวจสั้นๆ (โปรดทราบว่าแบบสำรวจนี้เป็นภาษาอังกฤษ)

แบบสำรวจนี้ใช้เวลาทำประมาณเจ็ดนาที ไม่มีการเก็บข้อมูลส่วนบุคคล (คำชี้แจงสิทธิ์ส่วนบุคคล)