一,引言

  Azure 密钥保管库用于存储敏感信息,例如链接字符串,密码,API 密钥等。我们无法直接从Azure 密钥库中访问机密!那么我们如何才能访问应用程序中的机密信息?比如,在我们的实际项目中,对于数据库链接字符串或者一些加密用的Key配置在 AppSettings.json 文件中,但是这个做的话,还是有很大的风险的,这些机密信息都有可能会暴露出去。就拿我自己来说,我之前分享博客内容里面涉及到的一些机密配置,都直接放在了配置文件中。

以此为戒啊,就算是私有的代码仓库也是不行的,所以今天决定介绍一个新的 Azure 资源—–Azure Key Vault(密钥保管库),我们将机密信息存储在密钥保管库中,并尝试通过.NET Console 访问(获取)它。

二,正文

1,注册应用程序

转到 portal.azure.com 登陆到我们自己的账户。点击 Azure Active Directory 进行注册 “App registrations”,我们将能够看到 “新注册应用程序” 选项卡打开。

 Name 输入:”Azure.KeyVault“。如下图所示,将其选择使用单个租户选项,点击 ”Register“ 进行注册操作。

接下来,我们需要给当前注册的客户端应用注册 client secret(客户端密钥)

点击 “Manage=》Certificates & secrets”

Description 输入:“Azure.KeyVault.ClientSecret”,过期时间选择默认 ”In 1 year“,点击 ”Add“ 进行添加操作

接下来我们可以看到创建好的客户端机密信息,同时,我们点击图中箭头的位置,点击进行复制 机密信息到我们工作的记事本中,稍后会用到此机密信息。

(注意,一定要在创建好的时候复制此机密信息,一旦我们离开此页面,重新进入的话,我们将无法进行复制操作)

2,创建密钥保管库

搜索关键词 ”Key Vault“,

Resource group 选择创建一个新的:”Web_Test_KV_RG“

Key vault name:”CNBATEBLOGWEB-KeyVault“

Region:”East Asia“

Pricing tier:”Standard“

点击 ”Review + create“ 进行创建预览校验。

检验完成后,点击 ”Create“ 进行创建

创建完成后,点击转到该资源进行配置访问策略,”Settings=》Access policies“,点击 ”Add Access Policy“ 创建新的访问策略。

首先选择配置模板 Configure from template(optional):”Secret Management”

Secret permissions(机密权限):”Get“ (只运行获取机密信息)

点击 ”Nono select“ 进行先选择服务主体,输入 “Azure.KeyVault”进行选择,点击 ”Select“

点击 ”Add“ 进行添加操作

点击 ”Save“,保存一下

接下来就可以将我们应用程序项目中使用的一些机密信息 ”生成/导入“ 在密钥保管库中。点击 ”Setting=》Secrets“,点击 ”+ Generate/Import“ 我们尝试

Upload options 选择:”手动“

Name:”CNBATEBLOGWEB-DB-CONNECTIONSTRING“

Value 可以输入机密信息,我这边输入的是 ”SUCCESS

可以看到 我们可以设置当前机密信息的 “激活日期”,”到期日期“ ”是否启用“

点击 ”Create“ 进行创建操作。

可以看到,当前的机密信息已经创建好了。

3,通过控制台代码程序获取机密信息

3.1 创建新的NET Core 控制台程序,添加 KeyVault.Secrets 和 Identity Nuget 程序包

使用程序包管理器控制台进行安装。

Install-Package Azure.Security.KeyVault.Secrets -Version 4.1.0
Install-Package Azure.Identity -Version 1.2.3

代码部分

 1     class Program
 2     {
 3         static void Main(string[] args)
 4         {
 5             string vaultUri = "https://cnbateblogweb-keyvault.vault.azure.net/";
 6 
 7             var client = new SecretClient(vaultUri: new Uri(vaultUri), credential: new DefaultAzureCredential());
 8 
 9             // Create a new secret using the secret client.
10             var secretResult = client.GetSecretAsync("CNBATEBLOGWEB-DB-CONNECTIONSTRING");
11 
12             // Retrieve a secret using the secret client.
13             Console.WriteLine("azure key vault name of "+ secretResult.Result.Value.Name+ " is "+ secretResult.Result.Value.Value);
14 
15             Console.ReadLine();
16         }
17     }

 注意 这里需要配置密钥保管库的链接参数 vaultUri,复制图中的链接

接下来,需要将之前在Azure上注册的服务主体的 AZURE_CLIENT_ID(应用程序ID)AZURE_CLIENT_SECRET(客户端密码)AZURE_TENANT_ID(租户ID)配置到系统的环境变量中去,或者是VS运行环境中,大家可以自行进行选择,我这里是直接配置在系统的环境变量中。

Azure Client ID 和 Azure Tenant ID 可以在Azure AD 注册的应用程序中可以找到,Client Secret 就是上面创建的客户端密码

接下来通过配置,将这些信息配置在系统环境变量中

接下来,我们直接运行代码,可以看到验证通过,并且将机密信息加载出来了。

OK,成功。这里我就不在演示机密信息的,添加,删除等操作了,因为在刚开始在给服务主体配置访问权限的时候,只配置了 ”Get“ 权限,大家可以自行在自己的环境中配置不同权限进行操作。

 *★,°*:.☆( ̄▽ ̄)/$:*.°★* 。

版权声明:本文为AllenMaster原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/AllenMaster/p/13826073.html