msl*_*lot 2 azure azure-keyvault azure-functions
我得到了这个名为“StorageConnectionString”的秘密,它从 ARM 插入到我的 Key Vault 中:
{
"type": "Microsoft.KeyVault/vaults/secrets",
"name": "[concat(variables('keyVaultName-v'),'/','StorageConnectionString')]",
"apiVersion": "2018-02-14",
"properties": {
"contentType": "text/plain",
"value": "OmittedStorageConntionString"
},
"dependsOn": [
"[resourceId('Microsoft.KeyVault/vaults', variables('keyVaultName-v'))]"
]
}
有什么方法可以从 ARM 引用并获取插入秘密的当前版本(或只是版本 ID)的 url?我想从这里提到的环境变量中引用它:https://azure.microsoft.com/en-us/blog/simplifying-security-for-serverless-and-web-apps-with-azure-functions-and -app-service/在“从 Key Vault 获取应用程序设置”部分下。我想@Microsoft.KeyVault(SecretUri=secret_uri_with_version)在我的 Azure Function 中设置环境设置。
如果这不可能,是否有其他方法来设置连接字符串?
这个问题是我最后的手段,就在我发布此文章后,我在这里找到了答案:https ://learn.microsoft.com/en-us/azure/app-service/app-service-key-vault-references#参考语法(在文档中)"[concat('@Microsoft.KeyVault(SecretUri=', reference(variables('storageConnectionStringResourceId')).secretUriWithVersion, ')')]"。
编辑 通过遵循前面提到的 i,您实际上可以引用 ARM 模板中的秘密并获取包含版本的秘密的 url。
创建一个秘密:
{
"type": "Microsoft.KeyVault/vaults/secrets",
"name": "[concat(variables('keyVaultName-v'),'/', variables('queueStorageConnectionStringSecretName-v'))]",
"apiVersion": "2018-02-14",
"properties": {
"value": "[concat('DefaultEndpointsProtocol=https;AccountName=', variables('queueStorageName-v'), ';AccountKey=', listKeys(variables('storageAccountResourceId'),'2015-05-01-preview').key1)]"
}
然后你可以在你的函数应用程序中引用它
{
"name": "StorageQueueConnectionString",
"value": "[concat('@Microsoft.KeyVault(SecretUri=', reference(variables('queueStorageConnectionStringSecretNameResourceId-v')).secretUriWithVersion, ')')]"
}
然后,在您的函数中,您可以StorageQueueConnectionString在绑定中引用
[Queue("queueName", Connection ="StorageQueueConnectionString")]
ICollector<string> outputQueueItem
这样,您就不必在环境变量(或代码)中引用连接字符串,从而使您的应用程序更加安全。此示例需要在函数应用和 Vault 之间分配系统(或用户分配)身份。我目前正在尝试跳出,并且我已经编写了一些代码,可以在这里找到: https: //github.com/mslot/Microservices。代码不漂亮!我正在尝试很多与不同 Azure 实体之间的密钥保管库和绑定相关的事情。
外部编辑:
你必须使用秘密的完整资源ID:
resourceId('sub','rg','Microsoft.KeyVault/vaults/secrets','vault_name','secret_name')
重现的最小模板:
{
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [],
"outputs": {
"collection": {
"type": "string",
"value": "[reference('/subscriptions/xxx/resourceGroups/yyy/providers/Microsoft.KeyVault/vaults/zzz/secrets/www', '2018-02-14').secretUriWithVersion]"
}
}
}
| 归档时间: |
|
| 查看次数: |
3108 次 |
| 最近记录: |