使用 Azure 資源受控身分識別的保存庫驗證
Azure Key Vault 會使用 Microsoft Entra 識別碼來驗證嘗試存取保存庫的使用者和應用程式。 若要授與 Web 應用程式存取保存庫的權限,首先必須向 Microsoft Entra ID 註冊您的應用程式。 註冊會建立應用程式的身分識別。 在應用程式擁有了身分識別後,您就可將保存庫權限指派給它。
應用程式和使用者使用 Microsoft Entra 驗證權杖向 Key Vault 進行驗證。 從 Microsoft Entra 識別碼取得權杖需要秘密或憑證。 具有權杖的任何人員都可以使用應用程式身分識別來存取保存庫中的所有秘密。
您的應用程式祕密在保存庫中會受到保護,但您仍然需要將祕密或憑證保留在保存庫之外,以便存取! 這個問題稱為「啟動程序問題」,Azure 對此有解決方案。
適用於 Azure 資源的受控識別
適用於 Azure 資源的受控識別是一項 Azure 功能,您的應用程式可以使用此功能來存取 Key Vault 和其他 Azure 服務,而不必在保存庫外管理任何一個祕密。 使用受控識別是從 Web 應用程式利用 Key Vault 的簡單安全方式。
當您在 Web 應用程式上啟用受控識別時,Azure 會啟用專供您應用程式使用的個別權杖授與 REST 服務。 您的應用程式會向此服務要求權杖,而不是直接向 Microsoft Entra ID 要求。 您的應用程式必須使用祕密才能存取此服務,但 App Service 已在啟動時將該祕密插入您應用程式的環境變數中。 您不需要在任何位置管理或儲存此祕密的值,除了應用程式沒有任何項目可以存取此祕密或受控識別權杖服務端點。
Azure 資源的受控識別也會為您在 Microsoft Entra ID 中註冊您的應用程式。 如果您刪除 Web 應用程式或停用其受控識別,Microsoft Entra ID 就會刪除註冊。
受控識別適用於 Microsoft Entra ID 的所有版本,包括 Azure 訂閱隨付的免費版本。 在 App Service 中使用受控識別無須支付額外費用、不需要任何設定,且可以隨時在應用程式上啟用或停用受控識別。
對 Web 應用程式啟用受控識別只需要單一 Azure CLI 命令,不需要任何設定。 稍後當您設定 App Service 應用程式,並將其部署至 Azure 時,會執行此作業。 不過,在這之前,請應用受控識別知識來撰寫您應用程式的程式碼。