Поділитися через

Використання змінних середовища для секретних даних Azure Key Vault

  • Стаття

Змінні середовища дають змогу посилатися на секрети, які зберігаються в сховищі ключів Azure. Потім ці секрети можуть використовуватися в циклах і настроюваних з’єднувачах Power Automate. Зауважте, що секрети недоступні для використання в інших настроюваннях або загалом через API.

Фактичні секрети зберігаються в сховищі ключів Azure, а змінна середовища посилається на розташування секрету сховища ключів. Для використання секретів сховища ключів Azure із змінними середовища потрібно налаштувати сховище ключів Azure у такий спосіб, щоб платформа Power Platform мала доступ до необхідних секретів.

Змінні середовища, які посилаються на секрети, наразі недоступні в засобі вибору динамічного вмісту для використання в циклах.

Налаштування сховища ключів Azure

Щоб використовувати секрети сховища ключів Azure із Power Platform, для передплати Azure із сховищем повинен бути зареєстрований постачальник ресурсів PowerPlatform, а користувач, який створює змінну середовища, повинен мати відповідні дозволи для ресурсу сховища ключів Azure.

Примітка

  • Нещодавно ми змінили роль безпеки, який використовується для підтвердження дозволів доступу в Azure Key Vault. Попередні інструкції включали призначення ролі Key Vault Reader. Якщо ви раніше настроїли сховище ключів із роллю Key Vault Reader, переконайтеся, що ви додали роль користувача Key Vault Secrets, щоб переконатися, що ваші користувачі та Dataverse користувачі матимуть достатньо дозволів для отримання секретних даних.
  • Ми усвідомлюємо, що наша служба використовує API керування доступом на основі ролей Azure для оцінки призначення роль безпеки, навіть якщо сховище ключів усе ще налаштовано на використання моделі дозволів політики доступу до сховища. Щоб спростити налаштування, рекомендовано змінити модель дозволів сховища на керування доступом на основі ролей Azure. Зробити це можна на вкладці Конфігурація Access.

  1. Зареєструйте постачальника ресурсів Microsoft.PowerPlatform у передплаті Azure. Щоб здійснити перевірку та налаштування, виконайте кроки, описані в статті: Постачальники ресурсів і типи ресурсів

    Реєстрація постачальника Power Platform в Azure

  2. Створіть сховище ключів Azure. Щоб мінімізувати загрозу в разі порушення, радимо використовувати окреме сховище для кожного середовища Power Platform. Розгляньте можливість налаштування сховища ключів так, щоб воно використовувало керування доступом на основі ролей Azure для моделі дозволів. Додаткові відомості: Практичні поради щодо використання сховища ключів Azure,Швидкий старт - Створення сховища ключів Azure за допомогою порталу Azure

  3. Користувачі, які створюють або використовують змінні середовища типу secret, повинні мати дозвіл на отримання секретного вмісту. Щоб надати новому користувачеві можливість використовувати секретну інформацію, виберіть область Керування доступом (IAM), натисніть кнопку Додати, а потім виберіть Додати призначення ролей у розкривному списку. Додаткові відомості: Надання доступу до ключів, сертифікатів і секретних файлів Key Vault за допомогою керування доступом на основі ролей Azure

    Перегляд доступу в Azure

  4. У майстрі призначення ролей залиште тип призначення за замовчуванням як ролі функції завдання та перейдіть на вкладку Роль . Знайдіть роль користувача Key Vault Secrets і виберіть її. Перейдіть на вкладку «Учасники», виберіть посилання «Вибрати учасників » і знайдіть користувача на бічній панелі. Після того, як користувач буде вибрано і відобразиться в розділі учасників, перейдіть на вкладку «Перегляд і призначення» і завершіть роботу майстра.

  5. Azure Key Vault має мати роль користувача Key Vault Secrets, надану керівнику служби Dataverse . Якщо його не існує для цього сховища, додайте нову політику доступу, використовуючи той самий метод, який ви раніше використовували для дозволу кінцевого користувача, тільки використовуючи Dataverse профіль програми, а не користувача. Якщо у вашому клієнті є кілька Dataverse керівників служб, рекомендуємо вибрати їх усіх і зберегти призначення ролей. Після призначення ролі перегляньте кожен Dataverse елемент у списку призначень ролей і виберіть назву, Dataverse щоб переглянути подробиці. Якщо ідентифікатора програми немає 00000007-0000-0000-c000-000000000000, виберіть профіль, а потім натисніть кнопку Видалити, щоб видалити його зі списку.

  6. Якщо ви ввімкнули брандмауер Azure Key Vault, вам потрібно буде надати Power Platform IP-адресам доступ до сховища ключів. Power Platform не входить до опції "Лише довірені служби". Отже, зверніться до Power Platform статті URL-адреси та діапазони IP-адрес, щоб дізнатися про поточні IP-адреси, які використовуються в службі.

  7. Додайте секрет у нове сховище, якщо це ще не зроблено. Додаткові відомості: Швидкий початок Azure – встановлення та отримання секрету зі сховища ключів за допомогою порталу Azure

Створення нової змінної середовища для секрету сховища ключів

Після налаштування сховища ключів Azure і реєстрації секрету в сховищі на нього можна посилатися в Power Apps за допомогою змінної середовища.

Примітка

  • Перевірка доступу користувача до секрету виконується у фоновому режимі. Якщо користувач не має принаймні дозволу на читання, відображається така помилка перевірки: «Ця змінна не збереглася належним чином. Користувач не має права зчитувати секретні дані зі шляху до сховища ключів Azure."
  • Наразі сховище ключів Azure – єдине сховище секретних ключів, що підтримується змінними середовища.
  • Сховище ключів Azure має перебувати в тому самому клієнті, де знаходиться передплата Power Platform.

  1. Увійдіть в Power Apps і в області Рішення відкрийте некероване рішення, що використовується для розробки.

  2. Виберіть Нове > Додатково > Змінна середовища.

  3. Введіть Коротке ім’я та, за потреби, Опис для змінної середовища.

  4. Виберіть для параметра Тип даних значення Секрет, а для параметра Сховище секретних ключів значення Сховище ключів Azure.

  5. Виберіть такі параметри:

    • Виберіть Створити посилання на значення сховища ключів Azure. Після додавання та збереження відомостей на наступному кроці буде створено запис значення змінної середовища.
    • Розгорніть Показати стандартне значення, щоб відобразити поля й створити секрет сховища ключів Azure за замовчуванням. Після додавання та збереження відомостей на наступному кроці до запису визначення змінної середовища буде додано розмежування стандартного значення.

  6. Введіть перелічені нижче дані.

    • Ідентифікатор передплати Azure: ідентифікатор передплати Azure, пов’язаний зі сховищем ключів.

    • Ім’я групи ресурсів: група ресурсів Azure, в якій розташовано сховище ключів, що містить секрет.

    • Ім’я сховища ключів Azure: ім’я сховища ключів, що містить секрет.

    • Секретне ім’я: ім’я секрету, розташованого в сховищі ключів Azure.

      Порада

      Ідентифікатор передплати, ім’я групи ресурсів та ім’я сховища ключів можна знайти на сторінці порталу Azure Огляд у сховищі ключів. Щоб знайти ім’я секрету на сторінці сховища ключів на порталі Azure, виберіть Секрети в розділі Параметри.

  7. Виберіть Зберегти.

Створення циклу Power Automate для тестування секрету змінної середовища

Продемонструвати спосіб використання секрету, отриманого зі сховища ключів Azure, можна за допомогою простого сценарію – треба створити цикл Power Automate, щоб використовувати секрет для автентифікації у вебслужбі.

Примітка

У цьому прикладі URI для вебслужби не є функціональною вебслужбою.

  1. Увійдіть у PowerApps, виберіть Рішення й відкрийте потрібне некероване рішення. Якщо елемента немає на бічній панелі, виберіть ... Додатково та знайдіть потрібний елемент.

  2. Виберіть Створити > Автоматизація > Хмарний цикл > Миттєвий.

  3. Введіть назву циклу, виберіть Запускати цикл вручну, а потім виберіть Створити.

  4. Виберіть Новий крок, виберіть з’єднувач Microsoft Dataverse, а потім на вкладці Дії виберіть Виконати незв’язану дію.

  5. Виберіть дію під назвою RetrieveEnvironmentVariableSecretValue з розкривного списку.

  6. Укажіть унікальне ім’я змінної середовища (не коротке ім’я), додане в попередньому розділі; у цьому прикладі це new_TestSecret.

  7. Виберіть ... > Перейменувати, щоб перейменувати дію так, щоб на неї було легше посилатися в наступній дії. На знімку екрана нижче дію перейменовано на GetSecret.

    Налаштування миттєвого циклу для тестування секрету змінних середовища

  8. Виберіть ... > Параметри, щоб відобразити параметри дії GetSecret.

  9. Увімкніть в параметрах Захист вихідних даних і виберіть Готово. Це допоможе запобігти відображенню вихідних даних дії в журналі виконання циклу.

    Увімкнення параметру «Захист вихідних даних» для дії

  10. Виберіть Новий крок знайдіть і виберіть з’єднувач HTTP.

  11. Для параметру Метод виберіть значення GET і введіть URI для вебслужби. У цьому прикладі використовується вигадана вебслужба httpbin.org.

  12. Виберіть Показати розширені параметри, установіть для параметра Автентифікація значення Базова та введіть Ім'я користувача.

  13. Виберіть поле Пароль, а потім на вкладці Динамічний вміст для імені кроку циклу, зазначеного вище (у цьому прикладі це getSecret), виберіть значення RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, яке потім додається як вираз outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] або body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Створення нового кроку за допомогою з'єднувача HTTP

  14. Виберіть ... > Параметри, щоб відобразити параметри дії HTTP.

  15. Увімкніть в параметрах Захист вхідних даних і Захист вихідних даних і виберіть  Готово. Якщо ввімкнути ці параметри, вхідні та вихідні дані дії відображатимуться в журналі виконання циклу.

  16. Щоб створити цикл, натисніть кнопку Зберегти.

  17. Запустіть цикл вручну, щоб протестувати його.

    За допомогою журналу виконання циклу можна перевірити вихідні дані.

    Вихідні дані циклу

Обмеження

  • Змінні середовища, які посилаються на секрети сховища ключів Azure, наразі обмежено для використання з циклами й настроюваними з’єднувачами Power Automate.

Див. також

Використання джерело даних змінних середовища в програмах Canvas
Використання змінних середовища в Power Automate хмарних потоках рішень
Огляд змінних середовища.

Примітка

Розкажіть нам про свої уподобання щодо мови документації? Візьміть участь в короткому опитуванні. (зверніть увагу, що це опитування англійською мовою)

Проходження опитування займе близько семи хвилин. Персональні дані не збиратимуться (декларація про конфіденційність).