那些遇到过的问题

如何向用户分配的身份授予对 Key Vault 的访问权限?

vas*_*rgu 3 azure azure-active-directory azure-keyvault

是否可以向用户分配的身份授予对 Key Vault 的访问权限?

在 azure 门户的 Managed Identities 中,我创建了一个新的身份“KeyVaultIdentity”,我将其分配给了一个 Web 应用程序(在身份中,用户分配的身份选项卡)。在来自密钥保管库的访问策略中,我添加了新创建的“KeyVaultIdentity”身份并提供了访问机密的权限。

我正在使用以下代码访问密钥保管库: 

try
        {
            /* The below 4 lines of code shows you how to use AppAuthentication library to fetch secrets from your Key Vault*/
            AzureServiceTokenProvider azureServiceTokenProvider = new AzureServiceTokenProvider();
            KeyVaultClient keyVaultClient = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(azureServiceTokenProvider.KeyVaultTokenCallback));
            var secret = await keyVaultClient.GetSecretAsync("https://play9VaultDemo.vault.azure.net/secrets/AppSecret")
                .ConfigureAwait(false);
            Message = secret.Value;

            /* The below do while logic is to handle throttling errors thrown by Azure Key Vault. It shows how to do exponential backoff which is the recommended client side throttling*/
            do
            {
                long waitTime = Math.Min(getWaitTime(retries), 2000000);
                secret = await keyVaultClient.GetSecretAsync("https://play9VaultDemo.vault.azure.net/secrets/AppSecret")
                    .ConfigureAwait(false);
                retry = false;
            }
            while (retry && (retries++ < 10));
        }
        /// <exception cref="KeyVaultErrorException">
        /// Thrown when the operation returned an invalid status code
        /// </exception>
        catch (KeyVaultErrorException keyVaultException)
        {
            Message = keyVaultException.Message;
            if ((int)keyVaultException.Response.StatusCode == 429)
                retry = true;
        }
Run Code Online (Sandbox Code Playgroud)

但是它说当我尝试访问机密时禁止访问。但是,如果在 Key Vault 中我授予访问 Web 应用程序的系统分配标识的权限,则我可以访问该机密,

您知道如何使用用户分配的身份进行这项工作吗?

小智 8

我遇到了同样的问题,每次尝试使用用户分配的身份访问 KeyVault 时,我都必须做两件事来逐步“禁止”:

  1. 将我使用的 Microsoft.Azure.Services.AppAuthentication 版本升级到 1.2.0-preview2。早期版本不支持用户分配的身份。

  2. 将连接字符串传递到 AzureServiceTokenProvider 构造函数以告知服务使用哪个标识。这是上面所有链接都忽略的一点。所以我有:

    var connectionString = "RunAs=App;AppId=";
    var azureServiceTokenProvider = new AzureServiceTokenProvider(connectionString);

代替:

var azureServiceTokenProvider = new AzureServiceTokenProvider();
Run Code Online (Sandbox Code Playgroud)

若要查找 clientId 的值,请在 Azure 门户中打开托管标识。您应该会看到一个标记为“客户端 ID”的字段。这就是你想要的。

归档时间:

查看次数:

4620 次

最近记录:

5 年,6 月 前
相关归档
Azure Functions 的 ARM 模板,具有针对不同环境和插槽的许多 appSettings 9
Azure BLOB存储 - 定价和速度"在数据中心内" 6
如何使用Azure AD身份验证限制多租户应用程序中的租户 6
如何从反应网络应用程序上传文件到azure blob? 6
.net 核心 3.0 上的 Azure 函数 6
访客用户的UPN索赔在哪里? 5
Python Azure sdk:如何从 keyvault 检索机密? 5
Azure API 管理直通到后端服务 5
Spring security oauth2 在 30 秒后未能通过颁发者验证 4
如何在 Azure WAF 中将 IP 地址列入白名单 4
难疑归档
在JavaScript中循环遍历数组 2940
使用Git版本控制查看文件的更改历史记录 2920
如何禁用textarea的resizable属性? 2541
比较Git中的两个分支? 2149
为什么++ [[]] [+ []] + [+ []]返回字符串"10"? 1613
lodash和下划线之间的差异 1566
"javascript:void(0)"是什么意思? 1292
你如何重命名Git标签? 1162
如何初始化静态地图? 1084
jQuery的jquery-1.10.2.min.map触发了404(未找到) 1051