【Azure Developer】使用 Azure VM 上的用户分配托管标识访问 Azure Key Vault 中国区代码示例

问题描述

在Global版本的Azure Key Vault 文档中，有一节介绍在Azure VM中使用标识获取访问令牌，调用Key Vault中的资源。但是在示例中，只有curl的命令执行，而没有代码部分。并且访问的resource都是azure.com，那对于中国区，有那些是需要修改的呢? 使用代码如何完成Token的获取呢？

问题解决

根据原文中curl的命令

curl -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com/&client_id=<UAMI CLIENT ID>"

把修改为C#代码：

private static readonly string TokenUrl = @"http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fvault.azure.com/&client_id=<UAMI CLIENT ID>";

private static string GetToken(string tokenUrl)
        {
            var request = WebRequest.Create(tokenUrl);
            request.Headers.Add("Metadata", "true");
            var response = request.GetResponse();
            return ParseWebResponse(response, "access_token");
        }

需要注意修改的地方为：

1） Resource需要修改为中国区endpoint： https%3A%2F%2Fvault.azure.cn

2） Resource 参数值必须与 Azure AD 预期值完全一致。 如果使用资源管理器资源 ID，必须在 URI 的结尾添加斜线。

3）<CLIENT ID> 必须替换为VM中唯一的一个用户标记，当VM有多个用户标记的时候，会遇见400/403错误。

参考资料

使用 Azure 门户在虚拟机规模集 (VMSS) 上配置 Azure 资源的托管标识：https://docs.azure.cn/zh-cn/active-directory/managed-identities-azure-resources/qs-configure-portal-windows-vmss#user-assigned-managed-identity

使用 VM 标识获取访问令牌，并使用它调用资源管理器： https://docs.microsoft.com/zh-cn/azure/active-directory/managed-identities-azure-resources/msi-tutorial-linux-vm-access-arm#get-an-access-token-using-the-vms-identity-and-use-it-to-call-resource-manager

[完]