Azure İşlevleri'de erişim anahtarlarıyla çalışma

Azure İşlevleri, işlev uç noktalarınıza erişmenizi zorlaştırmak için gizli dizi anahtarlarını kullanmanıza olanak tanır. Bu makalede İşlevler'in desteklediği erişim anahtarı türleri ve erişim anahtarlarıyla çalışma açıklanmaktadır.

Erişim anahtarları istenmeyen erişime karşı bazı azaltmalar sağlarken, üretimdeki HTTP uç noktalarının güvenliğini sağlamak için diğer seçenekleri göz önünde bulundurmanız gerekir. Örneğin, ortak bir uygulamada paylaşılan gizli dizileri dağıtmak iyi bir uygulama değildir. İşleviniz bir genel istemciden çağrılırsa, şu veya diğer güvenlik mekanizmalarını uygulamayı düşünmelisiniz:

• App Service Kimlik Doğrulamasını/Yetkilendirmesini Etkinleştirme
• İsteklerin kimliğini doğrulamak için Azure API Management'ı (APIM) kullanma
• İşlev uygulamanızı sanal ağa dağıtma
• İşlev uygulamanızı yalıtarak dağıtma

Erişim anahtarları, HTTP ile tetiklenen işlevlerde HTTP yetkilendirmesinin temelini sağlar. Daha fazla bilgi için bkz . Yetkilendirme düzeyi.

Anahtarları anlama

Erişim anahtarının kapsamı ve desteklediği eylemler, erişim anahtarının türüne bağlıdır.

Anahtar türü	Anahtar adı	HTTP kimlik doğrulama düzeyi	Açıklama
İşlev	default veya kullanıcı tanımlı	function	Yalnızca belirli bir işlev uç noktasına erişime izin verir.
ANABİLGİSAYAR	default veya kullanıcı tanımlı	function	bir işlev uygulamasındaki tüm işlev uç noktalarına erişime izin verir.
Ana	_master	admin	Ayrıca bir işlev uygulamasındaki çalışma zamanı REST API'lerine yönetim erişimi sağlayan özel konak anahtarı. Ana anahtar işlev uygulamanızda yükseltilmiş izinler verdiğinden, bu anahtarı üçüncü taraflarla paylaşmamanız veya yerel istemci uygulamalarında dağıtmamanız gerekir.
Sistem	Uzantıya bağlıdır	yok	Belirli uzantılar, web kancası uç noktalarına erişmek için sistem tarafından yönetilen bir anahtar gerektirebilir. Sistem anahtarları, dahili bileşenler tarafından çağrılan uzantıya özgü işlev uç noktaları için tasarlanmıştır. Örneğin, Event Grid tetikleyicisi , tetikleyici uç noktasını çağırırken aboneliğin bir sistem anahtarı kullanmasını gerektirir. Dayanıklı İşlevler çağırmak için sistem anahtarlarını da kullanırDayanıklı Görev uzantısı API'leri. Yalnızca belirli uzantılar sistem anahtarları oluşturabilir. Değerlerini açıkça ayarlayamazsınız. Diğer anahtarlar gibi portaldan veya anahtar API'lerini kullanarak anahtar için yeni bir değer oluşturabilirsiniz.

Her bir anahtar referans için adlandırılmıştır. İşlev ve host düzeyinde varsayılan bir anahtar (adlı default) vardır. İşlev tuşları konak anahtarlara göre önceliklidir. aynı adla iki anahtar tanımlandığında, işlev anahtarı her zaman kullanılır.

Aşağıdaki tabloda, çeşitli erişim anahtarları için kullanılanlar karşılaştırır:

Eylem	Kapsam	Anahtar türü
İşlev yürütme	Belirli işlev	İşlev
İşlev yürütme	Herhangi bir işlev	İşlev veya konak
admin Uç noktayı çağırma	İşlev uygulaması	Yalnızca ana şablon
Dayanıklı Görev uzantısı API'lerini çağırma	İşlev uygulaması*	Sistem
Uzantıya özgü web kancasını çağırma (iç)	İşlev uygulaması*	sistem

^*Uzantı tarafından belirlenen kapsam.

Önemli gereksinimler

İşlevler'de erişim anahtarları, URL güvenli base-64 dizeleri olarak kodlanmış rastgele 32 baytlık diziler oluşturulur. Kendi erişim anahtarlarınızı oluşturup İşlevler ile kullanabilirsiniz ancak bunun yerine İşlevler'in sizin için tüm erişim anahtarlarınızı oluşturmasına izin vermenizi kesinlikle öneririz.

İşlevler tarafından oluşturulan erişim anahtarları, erişim anahtarının türünü ve Azure İşlevleri tarafından oluşturulan özel imza ve sağlama toplamı değerlerini içerir. Bu ek bileşenlerin anahtarın kendisinde bulunması, güvenlik taraması ve diğer otomatik işlemler sırasında bulunan bu tür gizli dizilerin kaynağını belirlemeyi çok daha kolay hale getirir.

İşlevler'in anahtarlarınızı sizin yerinize oluşturmasına izin vermek için anahtar oluşturmak için kullanabileceğiniz API'lerin hiçbirine anahtar value sağlamayın.

Anahtar depolamayı yönetme

Anahtarlar Azure'da işlev uygulamanızın bir parçası olarak depolanır ve beklemede şifrelenir. Varsayılan olarak, anahtarlar ayar tarafından sağlanan hesaptaki bir Blob depolama kapsayıcısında AzureWebJobsStorage depolanır. Bu varsayılan davranışı geçersiz kılmak ve bunun yerine anahtarları şu alternatif konumlardan birinde depolamak için ayarını kullanabilirsiniz AzureWebJobsSecretStorageType :

Konum	Değer	Açıklama
İkinci bir depolama hesabı	blob	Blob depolamadaki anahtarları İşlevler çalışma zamanı tarafından kullanılandan farklı bir depolama hesabında depolar. Kullanılan belirli hesap ve kapsayıcı, ayarda ayarlanan bir paylaşılan erişim imzası (SAS) URL'si AzureWebJobsSecretStorageSas tarafından tanımlanır. SAS URL'si değiştiğinde AzureWebJobsSecretStorageSas ayarı korumanız gerekir.
Azure Key Vault	keyvault	anahtar kasası anahtarları AzureWebJobsSecretStorageKeyVaultUri depolamak için kullanılır.
Dosya sistemi	files	Anahtarlar, İşlevler v1.x'te varsayılan olan yerel dosya sisteminde kalıcıdır. Dosya sistemi depolaması önerilmez.
Kubernetes Gizli Dizileri	kubernetes	AzureWebJobsKubernetesSecretName içindeki kaynak kümesi, anahtarları depolamak için kullanılır. Yalnızca işlev uygulamanız Kubernetes'e dağıtıldığında desteklenir. Azure İşlevleri Temel Araçları, uygulamanızı kubernetes kümesine dağıtmak için kullandığınızda değerleri otomatik olarak oluşturur. Değişmez sırlar desteklenmez.
Azure Container Apps gizli anahtarlar	ContainerApps	Anahtarlar Azure Container Apps gizli anahtarlar mağazasında depolanır. Yalnızca işlev uygulamanız Azure Container Apps'e dağıtıldığında desteklenir.

Anahtar depolama için Key Vault kullandığınızda, ihtiyacınız olan uygulama ayarları sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimlik türüne bağlıdır.

Ayar adı	Sistem tarafından atanan	Kullanıcı tarafından atanan	Uygulama kaydı
AzureWebJobsSecretStorageKeyVaultUri	✓	✓	✓
AzureWebJobsSecretStorageKeyVaultClientId	X	✓	✓
AzureWebJobsSecretStorageKeyVaultClientSecret	X	X	✓
AzureWebJobsSecretStorageKeyVaultTenantId	X	X	✓

Önemli

B secrets'' tr-TR: Gizli bilgiler, AzureWebJobsSecretStorageKeyVaultUri ayarı ile tek tek işlev uygulamalarıyla sınırlı değildir. Birden çok işlev uygulaması aynı Key Vault'u kullanacak şekilde yapılandırılmışsa, bunlar aynı sırları paylaşır, büyük olasılıkla anahtar çakışmalarına veya üzerine yazmalara yol açar. İstenmeyen davranışı önlemek için her işlev uygulaması için ayrı bir Key Vault örneği kullanmanızı öneririz.

Erişim anahtarlarını kullanma

HTTP ile tetiklenen işlevler genellikle işlev adını içeren bir URL kullanılarak çağrılabilir. Belirli bir işlevin yetkilendirme düzeyi dışında anonymousbir değer olarak ayarlandığında, isteğinizde bir erişim anahtarı da sağlamanız gerekir. Erişim anahtarı, sorgu dizesi kullanılarak ?code= URL'de veya istek üst bilgisinde (x-functions-key ) sağlanabilir. Daha fazla bilgi için bkz . Erişim anahtarı yetkilendirmesi.

Çalışma zamanı REST API'lerine erişmek için (altında/admin/), istek üst bilgisinde _master ana anahtarı (x-functions-key) sağlamanız gerekir. Site özelliğini kullanarak yönetici uç noktalarınıfunctionsRuntimeAdminIsolationEnabled.

İşlev erişim anahtarlarınızı alma

Şu Azure Resource Manager API'lerini kullanarak işlev ve konak anahtarlarını program aracılığıyla alabilirsiniz:

• İşlev Tuşlarını Listele
• Ana Bilgisayar Anahtarlarını Listele
• İşlev Tuşlarını Listele Yuvası
• Host Anahtar Yuvaları Listesi

Azure Resource Manager API'lerini çağırmayı öğrenmek için bkz . Azure REST API başvurusu.

REST API'lerini kullanmak zorunda kalmadan erişim anahtarlarını almak için bu yöntemleri kullanabilirsiniz.

Azure portalı

1. Azure portalında oturum açın, ardından İşlev Uygulaması'nı arayın ve seçin.

2. Çalışmak istediğiniz işlev uygulamasını seçin.

3. Soldaki menüde İşlevler'i genişletin ve uygulama anahtarları'nı seçin.

   Uygulama anahtarları sayfası görüntülenir. Bu sayfada konak anahtarları görüntülenir ve bu anahtarlar uygulamadaki herhangi bir işleve erişmek için kullanılabilir. Sistem anahtarı da görüntülenir ve bu da herkese tüm işlev uygulaması API'lerine yönetici düzeyinde erişim sağlar.

Ayrıca, belirli bir işlevin anahtarını kullanarak da en az ayrıcalık uygulayabilirsiniz. HTTP ile tetiklenen belirli bir işlevin İşlev tuşları sekmesinden işleve özgü anahtarları alabilirsiniz.

Azure CLI

Azure Cloud Shell'de aşağıdaki komutu çalıştırın. Komutun çıktısı, işlev uygulamasında http ile tetiklenen herhangi bir işleve erişmek için kullanılabilen konak anahtarıdır default .

az functionapp keys list --resource-group <RESOURCE_GROUP> --name <APP_NAME> --query functionKeys.default --output tsv

<RESOURCE_GROUP> ve <APP_NAME> yerlerini kaynak grubunuz ve işlev uygulamanızın adıyla değiştirin.

Çıkış hassas bilgiler içerdiğinden, çıkışı kalıcı hale veya kalıcı dosya çıkışlarının güvenliğini sağlamayın.

Azure PowerShell

Aşağıdaki komut dosyasını çalıştırın. Çıkış, işlev uygulamasındaki default HTTP ile tetiklenen herhangi bir işleve erişmek için kullanılabilen konak anahtarıdır.

$rGroup = '<RESOURCE_GROUP>'
$appName = '<APP_NAME>'
$path = "/subscriptions/$((Get-AzContext).Subscription.Id)/resourceGroups/$rGroup/providers/Microsoft.Web/sites/$appName/host/default/listKeys?api-version=2018-11-01"

((Invoke-AzRestMethod -Path $path -Method POST).Content | ConvertFrom-JSON).functionKeys.default

Bu betikte <RESOURCE_GROUP> ve <APP_NAME> öğelerini kaynak grubunuz ve işlev uygulamanızın adıyla değiştirin.

Tip

Azure İşlevleri Çekirdek Araçları komutunu func azure functionapp list-functions seçeneğiyle --show-keys kullanarak fonksiyonlarınızın erişim anahtarlarını da alabilirsiniz. Daha fazla bilgi için bkz. Azure Functions Core Tools referansı.

Erişim anahtarlarını yenileme veya oluşturma

Erişim anahtarı değerlerinizi yenilediğinizde veya oluşturduğunuzda, güncelleştirilmiş anahtar değerlerini işlevinizi çağıran tüm istemcilere el ile yeniden dağıtmanız gerekir.

İşlev ve konak anahtarlarını program aracılığıyla yenileyebilir veya şu Azure Resource Manager API'lerini kullanarak yenilerini oluşturabilirsiniz:

• İşlev Gizli Dizisini Oluşturma veya Güncelleştirme
• İşlev gizli dizi yuvalarını oluşturma veya güncelleştirme
• Ana bilgisayar gizli dizisini oluşturma veya güncelleştirme
• Konak Gizli Dizi Yuvası Oluşturma veya Güncelleştirme

Azure Resource Manager API'lerini çağırmayı öğrenmek için bkz . Azure REST API başvurusu.

REST API'lerine el ile çağrı oluşturmak zorunda kalmadan erişim anahtarlarını almak için bu yöntemleri kullanabilirsiniz.

Azure portalı

1. Azure portalında oturum açın, ardından İşlev Uygulaması'nı arayın ve seçin.

2. Çalışmak istediğiniz işlev uygulamasını seçin.

3. Soldaki menüde İşlevler'i genişletin ve uygulama anahtarları'nı seçin.

   Uygulama anahtarları sayfası görüntülenir. Bu sayfada konak anahtarları görüntülenir ve bu anahtarlar uygulamadaki herhangi bir işleve erişmek için kullanılabilir. Sistem anahtarı da görüntülenir ve bu da herkese tüm işlev uygulaması API'lerine yönetici düzeyinde erişim sağlar.

4. Yenilemek istediğiniz anahtarın yanındaki Anahtar değerini yenile'yi ve ardından Yenile ve kaydet'i seçin.

Ayrıca, HTTP ile tetiklenen belirli bir işlevin İşlev tuşları sekmesinde bir işlev anahtarını yenileyebilirsiniz.

Azure CLI

Konak anahtarını İşlevler default tarafından oluşturulan yeni bir anahtar değeriyle yenileyen Azure Cloud Shell'de aşağıdaki komutu çalıştırın.

az functionapp keys set --resource-group <RESOURCE_GROUP> --name <APP_NAME> --key-type functionKeys --key-name default

Bu komutta <RESOURCE_GROUP> ve <APP_NAME> öğelerini sırasıyla kaynak grubu ve işlev uygulamanızın adıyla değiştirin. Bu komut Azure Cloud Shell'de (Bash) çalışır. Windows terminalinde çalışacak şekilde değiştirmeniz gerekir.

İşlevler tarafından oluşturulan yeni anahtar değeri, başvurunuz için görüntülenir. Bu yeni anahtar değeri, konak anahtarına dayanan tüm uygulamalara güvenli bir şekilde dağıtılmalıdır. Çıkış hassas bilgiler içerdiğinden, çıkışı kalıcı hale veya kalıcı dosya çıkışlarının güvenliğini sağlamayın.

Azure PowerShell

Konak anahtarını İşlevler tarafından oluşturulan yeni bir anahtar değeriyle yenilemek default için REST API'lerini kullanan aşağıdaki betiği çalıştırın.

# Variables - replace these with your actual values
$resourceGroupName = "<RESOURCE_GROUP>"
$functionAppName = "<APP_NAME>" 

# Construct the URI for the REST API call
$uri = "https://management.azure.com/subscriptions/$((Get-AzContext).Subscription.Id)/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/$functionAppName/host/default/listkeys?api-version=2021-02-01"

# Construct the body of the request
$body = @{
    properties = @{
        name = "default"
    }
} | ConvertTo-Json

# Invoke the REST API to create or update the host-level secret
$response = Invoke-AzRestMethod -Method Post -Uri $uri -Payload $body

# Output the updated key for reference
($response.Content | ConvertFrom-Json).functionKeys.default

Bu betikte <RESOURCE_GROUP> ve <APP_NAME> öğelerini kaynak grubunuz ve işlev uygulamanızın adıyla değiştirin.

İşlevler tarafından oluşturulan yeni anahtar değeri, başvurunuz için döndürülür. Konak anahtarına dayanan tüm uygulamalara güvenli bir şekilde dağıtılmalıdır. Çıkış hassas bilgiler içerdiğinden, çıkışı kalıcı hale veya kalıcı dosya çıkışlarının güvenliğini sağlamayın.

Erişim anahtarlarını silme

Şu Azure Resource Manager API'lerini kullanarak işlev ve konak anahtarlarını program aracılığıyla silebilirsiniz:

• İşlev Gizli Dizilerini Sil
• İşlev Gizli Dizi Yuvalarını Sil
• Konak Gizli Dizilerini Sil
• Konak Gizli Dizi Yuvalarını Sil

Azure Resource Manager API'lerini çağırmayı öğrenmek için bkz . Azure REST API başvurusu.

İlgili içerik

• Azure İşlevleri güvenliğini sağlama
• HTTP tetikleyicisi Azure İşlevleri
• İşlev uygulamanızı yönetme