一,引言

  Azure 密钥保管库用于存储敏感信息,例如链接字符串,密码,API 密钥等。我们无法直接从Azure 密钥库中访问机密!那么我们如何才能访问应用程序中的机密信息?比如,在我们的实际项目中,对于数据库链接字符串或者一些加密用的Key配置在 AppSettings.json 文件中,但是这个做的话,还是有很大的风险的,这些机密信息都有可能会暴露出去。就拿我自己来说,我之前分享博客内容里面涉及到的一些机密配置,都直接放在了配置文件中。

以此为戒啊,就算是私有的代码仓库也是不行的,所以今天决定介绍一个新的 Azure 资源-----Azure Key Vault(密钥保管库),我们将机密信息存储在密钥保管库中,并尝试通过.NET Console 访问(获取)它。

二,正文

1,注册应用程序

转到 portal.azure.com 登陆到我们自己的账户。点击 Azure Active Directory 进行注册 “App registrations”,我们将能够看到 “新注册应用程序” 选项卡打开。

Name 输入:”Azure.KeyVault“。如下图所示,将其选择使用单个租户选项,点击 ”Register“ 进行注册操作。

接下来,我们需要给当前注册的客户端应用注册 client secret(客户端密钥)

点击 "Manage=》Certificates & secrets"

Description 输入:“Azure.KeyVault.ClientSecret”,过期时间选择默认 ”In 1 year“,点击 ”Add“ 进行添加操作

接下来我们可以看到创建好的客户端机密信息,同时,我们点击图中箭头的位置,点击进行复制 机密信息到我们工作的记事本中,稍后会用到此机密信息。

(注意,一定要在创建好的时候复制此机密信息,一旦我们离开此页面,重新进入的话,我们将无法进行复制操作)

2,创建密钥保管库

搜索关键词 ”Key Vault“,

Resource group 选择创建一个新的:”Web_Test_KV_RG“

Key vault name:”CNBATEBLOGWEB-KeyVault“

Region:”East Asia“

Pricing tier:”Standard“

点击 ”Review + create“ 进行创建预览校验。

检验完成后,点击 ”Create“ 进行创建

创建完成后,点击转到该资源进行配置访问策略,”Settings=》Access policies“,点击 ”Add Access Policy“ 创建新的访问策略。

首先选择配置模板 Configure from template(optional):"Secret Management"

Secret permissions(机密权限):”Get“ (只运行获取机密信息)

点击 ”Nono select“ 进行先选择服务主体,输入 "Azure.KeyVault"进行选择,点击 ”Select“

点击 ”Add“ 进行添加操作

点击 ”Save“,保存一下

接下来就可以将我们应用程序项目中使用的一些机密信息 ”生成/导入“ 在密钥保管库中。点击 ”Setting=》Secrets“,点击 ”+ Generate/Import“ 我们尝试

Upload options 选择:”手动“

Name:”CNBATEBLOGWEB-DB-CONNECTIONSTRING“

Value 可以输入机密信息,我这边输入的是 ”SUCCESS

可以看到 我们可以设置当前机密信息的 "激活日期",”到期日期“ ”是否启用“

点击 ”Create“ 进行创建操作。

可以看到,当前的机密信息已经创建好了。

3,通过控制台代码程序获取机密信息

3.1 创建新的NET Core 控制台程序,添加 KeyVault.Secrets 和 Identity Nuget 程序包

使用程序包管理器控制台进行安装。

Install-Package Azure.Security.KeyVault.Secrets -Version 4.1.0
Install-Package Azure.Identity -Version 1.2.3

代码部分

 1     class Program
2 {
3 static void Main(string[] args)
4 {
5 string vaultUri = "https://cnbateblogweb-keyvault.vault.azure.net/";
6
7 var client = new SecretClient(vaultUri: new Uri(vaultUri), credential: new DefaultAzureCredential());
8
9 // Create a new secret using the secret client.
10 var secretResult = client.GetSecretAsync("CNBATEBLOGWEB-DB-CONNECTIONSTRING");
11
12 // Retrieve a secret using the secret client.
13 Console.WriteLine("azure key vault name of "+ secretResult.Result.Value.Name+ " is "+ secretResult.Result.Value.Value);
14
15 Console.ReadLine();
16 }
17 }

注意 这里需要配置密钥保管库的链接参数 vaultUri,复制图中的链接

接下来,需要将之前在Azure上注册的服务主体的 AZURE_CLIENT_ID(应用程序ID)AZURE_CLIENT_SECRET(客户端密码)AZURE_TENANT_ID(租户ID)配置到系统的环境变量中去,或者是VS运行环境中,大家可以自行进行选择,我这里是直接配置在系统的环境变量中。

Azure Client ID 和 Azure Tenant ID 可以在Azure AD 注册的应用程序中可以找到,Client Secret 就是上面创建的客户端密码

接下来通过配置,将这些信息配置在系统环境变量中

接下来,我们直接运行代码,可以看到验证通过,并且将机密信息加载出来了。

OK,成功。这里我就不在演示机密信息的,添加,删除等操作了,因为在刚开始在给服务主体配置访问权限的时候,只配置了 ”Get“ 权限,大家可以自行在自己的环境中配置不同权限进行操作。

*★,°*:.☆( ̄▽ ̄)/$:*.°★* 。

三,结尾

  ok,今天所演示的就是将一些机密信息添加到Azure Key Vault 中,然后通过在Azure AD 中注册应用程序,在Key Vault 中给不同的服务主体设置不同的访问权限,从而达到对机密进行保护的作用,在实际项目中,我们也避免掉把一些重要的机密信息直接配置在系统的配置文件中或者通过硬编码的方式保留在系统中。

github:https://github.com/yunqian44/Azure.KeyVault.git

作者:Allen

版权:转载请在文章明显位置注明作者及出处。如发现错误,欢迎批评指正。

Azure Kay Vault(一).NET Core Console App 获取密钥保管库中的机密信息的更多相关文章

  1. 【Azure 环境】Azure Key Vault (密钥保管库)中所保管的Keys, Secrets,Certificates是否可以实现数据粒度的权限控制呢?

    问题描述 Key Vault (密钥保管库) 能不能针对用户授权实现指定用户只能访问某个或某些特定的key? 如当前有两个用户(User1, User2),在Key Vault中有10个Key,Use ...

  2. 在 Azure Resource Manager 中为虚拟机设置密钥保管库

    Note Azure 具有两种不同的部署模型,用于创建和处理资源:Resource Manager 模型和经典模型.本文介绍使用 Resource Manager 部署模型.Azure 建议对大多数新 ...

  3. 【Azure Developer】Python代码通过AAD认证访问微软Azure密钥保管库(Azure Key Vault)中机密信息(Secret)

    关键字说明 什么是 Azure Active Directory?Azure Active Directory(Azure AD, AAD) 是 Microsoft 的基于云的标识和访问管理服务,可帮 ...

  4. 【Azure Developer - 密钥保管库 】使用 Python Azure SDK 实现从 Azure Key Vault Certificate 中下载证书(PEM文件)

    问题描述 在Azure Key Vault中,我们可以从Azure门户中下载证书PEM文件到本地. 可以通过OpenSSL把PFX文件转换到PEM文件.然后用TXT方式查看内容,操作步骤如下图: Op ...

  5. 【Azure 应用服务】PHP应用部署在App Service for Linux环境中,上传文件大于1MB时,遇见了413 Request Entity Too Large 错误的解决方法

    问题描述 在PHP项目部署在App Service后,上传文件如果大于1MB就会遇见 413 Request Entity Too Large 的问题. 问题解决 目前这个问题,首先需要分析应用所在的 ...

  6. 在 Azure 上部署 Asp.NET Core Web App

    在云计算大行其道的时代,当你要部署一个网站时第一选择肯定是各式各样的云端服务.那么究竟使用什么样的云端服务才能够以最快捷的方式部署一个 ASP.NET Core的网站呢?Azure 的 Web App ...

  7. Adding appsettings.json to a .NET Core console app

    This is something that strangely doesn’t seem to be that well documented and took me a while to figu ...

  8. .Net core Api后台获取数据,异步方法中,数据需采用Linq分页

    .net core api using System.Collections.Generic; using System.Linq; using System.Text.RegularExpressi ...

  9. Azure Key Vault(二)- 入门简介

    一,引言 在介绍 Azure Key Vault 之前,先简单介绍一下 HSM(硬件安全模块). -------------------- 我是分割线 -------------------- 1,什 ...

随机推荐

  1. Ansible剧本介绍及使用演示(3)

    Ansible剧本编写说明 一. 缩进 yaml 的缩进要求比较严格.一定不能使用tab键 注意:编写yaml文件,就忘掉shell的tab吧. 二. 冒号 每个冒号后面一定要有一个空格 注意:1. ...

  2. python中的运动控制函数

    运动控制函数:控制海龟走直线&走曲线 海龟向前行进,海龟走直线,参数d表示行进距离,也可以为负数,单位是像素 根据半径r绘制extent角度的弧形 r : 默认圆心在海龟左侧r 距离的位置 e ...

  3. 一、Git是什么?

    Git是什么? Git 是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目. Git 是 Linus Torvalds 为了帮助管理 Linux 内核开发而开发的一个开放源码的版本控 ...

  4. RXJAVA之聚合操作

    concat 按顺序连接多个Observables.需要注意的是Observable.concat(a,b)等价于a.concatWith(b). startWith 在数据序列的开头增加一项数据.s ...

  5. nacos快速安装

    一 什么是 Nacos 服务注册中心和配置中心. 二 使用 下载和启动 使用有两种方式 1.自己下载源码编译 2.下载编译好的压缩包 我比较懒选择了第二种方式. 最新稳定版本 下载地址:https:/ ...

  6. Java多线程--创建和使用线程池

    使用线程池的目的 线程是稀缺资源,不能频繁的创建 解耦作用:线程的创建与执行完全分开,方便维护 将其放入一个池子中,可以给其他任务进行复用 优点 降低资源消耗,通过重复利用已创建的线程来降低线程创建和 ...

  7. Android Studio 自定义字体显示英文音标

    android:fontFamily="serif" 网上查了很多自定义字体的方式,或多或少都有些麻烦,最后还是尝试着认为内置字体不应该实现不了英文音标问题,就一个一个字体试了一下 ...

  8. Istio 运维实战系列(3):让人头大的『无头服务』-下

    本系列文章将介绍用户从 Spring Cloud,Dubbo 等传统微服务框架迁移到 Istio 服务网格时的一些经验,以及在使用 Istio 过程中可能遇到的一些常见问题的解决方法. 失败的 Eur ...

  9. python-格式化(%,format,f-string)输出+输入

    1-格式化输出: % 1.print('我的姓名是%s,身高%s cm'%(name,height)) 2.%s -str() ; %d–十进制3.传入值的时候一定是个元组,不是列表4.当指定长度时: ...

  10. 【基础】dp系列1

    序列双段最大子段和问题 (也许很水但蒟蒻刚刚学dp就来记录一下) 题目链接 题意就是求序列中的任意两段的最大子段和最大. 我们先预处理出来前缀和,方便求最大子段和. 对于每一个i都求一遍1到i的最大子 ...