Azure Kay Vault(一).NET Core Console App 获取密钥保管库中的机密信息
一,引言
Azure 密钥保管库用于存储敏感信息,例如链接字符串,密码,API 密钥等。我们无法直接从Azure 密钥库中访问机密!那么我们如何才能访问应用程序中的机密信息?比如,在我们的实际项目中,对于数据库链接字符串或者一些加密用的Key配置在 AppSettings.json 文件中,但是这个做的话,还是有很大的风险的,这些机密信息都有可能会暴露出去。就拿我自己来说,我之前分享博客内容里面涉及到的一些机密配置,都直接放在了配置文件中。
以此为戒啊,就算是私有的代码仓库也是不行的,所以今天决定介绍一个新的 Azure 资源—–Azure Key Vault(密钥保管库),我们将机密信息存储在密钥保管库中,并尝试通过.NET Console 访问(获取)它。
二,正文
1,注册应用程序
转到 portal.azure.com 登陆到我们自己的账户。点击 Azure Active Directory 进行注册 “App registrations”,我们将能够看到 “新注册应用程序” 选项卡打开。
Name 输入:”Azure.KeyVault“。如下图所示,将其选择使用单个租户选项,点击 ”Register“ 进行注册操作。
接下来,我们需要给当前注册的客户端应用注册 client secret(客户端密钥)
点击 “Manage=》Certificates & secrets”
Description 输入:“Azure.KeyVault.ClientSecret”,过期时间选择默认 ”In 1 year“,点击 ”Add“ 进行添加操作
接下来我们可以看到创建好的客户端机密信息,同时,我们点击图中箭头的位置,点击进行复制 机密信息到我们工作的记事本中,稍后会用到此机密信息。
(注意,一定要在创建好的时候复制此机密信息,一旦我们离开此页面,重新进入的话,我们将无法进行复制操作)
2,创建密钥保管库
搜索关键词 ”Key Vault“,
Resource group 选择创建一个新的:”Web_Test_KV_RG“
Key vault name:”CNBATEBLOGWEB-KeyVault“
Region:”East Asia“
Pricing tier:”Standard“
点击 ”Review + create“ 进行创建预览校验。
检验完成后,点击 ”Create“ 进行创建
创建完成后,点击转到该资源进行配置访问策略,”Settings=》Access policies“,点击 ”Add Access Policy“ 创建新的访问策略。
首先选择配置模板 Configure from template(optional):”Secret Management”
Secret permissions(机密权限):”Get“ (只运行获取机密信息)
点击 ”Nono select“ 进行先选择服务主体,输入 “Azure.KeyVault”进行选择,点击 ”Select“
点击 ”Add“ 进行添加操作
点击 ”Save“,保存一下
接下来就可以将我们应用程序项目中使用的一些机密信息 ”生成/导入“ 在密钥保管库中。点击 ”Setting=》Secrets“,点击 ”+ Generate/Import“ 我们尝试
Upload options 选择:”手动“
Name:”CNBATEBLOGWEB-DB-CONNECTIONSTRING“
Value 可以输入机密信息,我这边输入的是 ”SUCCESS“
可以看到 我们可以设置当前机密信息的 “激活日期”,”到期日期“ ”是否启用“
点击 ”Create“ 进行创建操作。
可以看到,当前的机密信息已经创建好了。
3,通过控制台代码程序获取机密信息
3.1 创建新的NET Core 控制台程序,添加 KeyVault.Secrets 和 Identity Nuget 程序包
使用程序包管理器控制台进行安装。
Install-Package Azure.Security.KeyVault.Secrets -Version 4.1.0
Install-Package Azure.Identity -Version 1.2.3
代码部分
1 class Program 2 { 3 static void Main(string[] args) 4 { 5 string vaultUri = "https://cnbateblogweb-keyvault.vault.azure.net/"; 6 7 var client = new SecretClient(vaultUri: new Uri(vaultUri), credential: new DefaultAzureCredential()); 8 9 // Create a new secret using the secret client. 10 var secretResult = client.GetSecretAsync("CNBATEBLOGWEB-DB-CONNECTIONSTRING"); 11 12 // Retrieve a secret using the secret client. 13 Console.WriteLine("azure key vault name of "+ secretResult.Result.Value.Name+ " is "+ secretResult.Result.Value.Value); 14 15 Console.ReadLine(); 16 } 17 }
注意 这里需要配置密钥保管库的链接参数 vaultUri,复制图中的链接
接下来,需要将之前在Azure上注册的服务主体的 AZURE_CLIENT_ID(应用程序ID),AZURE_CLIENT_SECRET(客户端密码),AZURE_TENANT_ID(租户ID)配置到系统的环境变量中去,或者是VS运行环境中,大家可以自行进行选择,我这里是直接配置在系统的环境变量中。
Azure Client ID 和 Azure Tenant ID 可以在Azure AD 注册的应用程序中可以找到,Client Secret 就是上面创建的客户端密码
接下来通过配置,将这些信息配置在系统环境变量中
接下来,我们直接运行代码,可以看到验证通过,并且将机密信息加载出来了。
OK,成功。这里我就不在演示机密信息的,添加,删除等操作了,因为在刚开始在给服务主体配置访问权限的时候,只配置了 ”Get“ 权限,大家可以自行在自己的环境中配置不同权限进行操作。
*★,°*:.☆( ̄▽ ̄)/$:*.°★* 。