Utilizzare Azure Key Vault per passare il valore di parametro protetto durante la distribuzione Bicep
Invece di inserire un valore protetto (ad esempio una password) direttamente nel file Bicep o nel file dei parametri, è possibile recuperare il valore da un Azure Key Vault durante una distribuzione. Quando un modulo prevede un parametro string
con modificatore secure:true
, è possibile usare la funzione getSecret per ottenere un segreto dell'insieme di credenziali delle chiavi. Il valore non viene mai esposto, in quanto si fa riferimento solo all'ID dell'insieme di credenziali chiave.
Importante
Questo articolo è incentrato su come passare un valore sensibile come parametro di modello. Quando il segreto viene passato come parametro, l'insieme di credenziali delle chiavi può esistere in una sottoscrizione diversa rispetto al gruppo di risorse in cui si esegue la distribuzione.
Questo articolo non tratta l’argomento su come impostare una proprietà della macchina virtuale su un URL di un certificato in un insieme di credenziali delle chiavi. Per un modello di avvio rapido di questo scenario, vedere Installare un certificato da Azure Key Vault in una macchina virtuale.
Distribuire insiemi di credenziali delle chiavi e segreti
Per accedere a un insieme di credenziali delle chiavi durante la distribuzione di Bicep, impostare enabledForTemplateDeployment
nell'insieme di credenziali delle chiavi su true
.
Se si dispone già di un insieme di credenziali delle chiavi, assicurarsi che consenta le distribuzioni di modelli.
az keyvault update --name ExampleVault --enabled-for-template-deployment true
Per creare un nuovo insieme di credenziali delle chiavi e aggiungere un segreto, usare:
az group create --name ExampleGroup --location centralus
az keyvault create \
--name ExampleVault \
--resource-group ExampleGroup \
--location centralus \
--enabled-for-template-deployment true
az keyvault secret set --vault-name ExampleVault --name "ExamplePassword" --value "hVFkk965BuUv"
Come proprietario dell'insieme di credenziali delle chiavi, si ha automaticamente accesso alla creazione di segreti. Se l'utente che lavora con i segreti non è il proprietario dell'insieme di credenziali delle chiavi, concedere l'accesso con:
az keyvault set-policy \
--upn <user-principal-name> \
--name ExampleVault \
--secret-permissions set delete get list
Per altre informazioni sulla creazione di insiemi di credenziali delle chiavi e sull'aggiunta di segreti, vedere:
- Impostare e recuperare un segreto usando l'interfaccia della riga di comando
- Impostare e recuperare un segreto usando PowerShell
- Impostare e recuperare un segreto usando il portale
- Impostare e recuperare un segreto usando .NET
- Impostare e recuperare un segreto usando Node.js
Concedere l'accesso ai segreti
L'utente che distribuisce il file Bicep deve disporre dell'autorizzazione Microsoft.KeyVault/vaults/deploy/action
per l'ambito del gruppo di risorse e dell'insieme di credenziali delle chiavi. Entrambi i ruoli Proprietario e Collaboratore possono concedere l'accesso. L’utente che ha creato l'insieme di credenziali delle chiavi è il proprietario e ha l'autorizzazione.
La routine seguente mostra come creare un ruolo con l’autorizzazione minima e come assegnarlo all'utente.
Creare un file JSON di definizione del ruolo personalizzato:
{ "Name": "Key Vault Bicep deployment operator", "IsCustom": true, "Description": "Lets you deploy a Bicep file with the access to the secrets in the Key Vault.", "Actions": [ "Microsoft.KeyVault/vaults/deploy/action" ], "NotActions": [], "DataActions": [], "NotDataActions": [], "AssignableScopes": [ "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e" ] }
Sostituire "00000000-0000-0000-0000-000000000000" con l’ID sottoscrizione.
Creare il nuovo ruolo usando il file JSON:
az role definition create --role-definition "<path-to-role-file>" az role assignment create \ --role "Key Vault Bicep deployment operator" \ --scope /subscriptions/<Subscription-id>/resourceGroups/<resource-group-name> \ --assignee <user-principal-name>
I campioni assegnano il ruolo personalizzato all'utente a livello di gruppo di risorse.
Quando si usa un insieme di credenziali delle chiavi con il file Bicep per una Applicazione gestita, è necessario concedere l'accesso all'entità servizio Provider di risorse Appliance. Per altre informazioni, vedere Segreto di accesso di Key Vault quando si distribuiscono Applicazioni gestite di Azure.
Recuperare i segreti nel file Bicep
È possibile usare la funzione getSecret nei file Bicep per ottenere un segreto dell'insieme di credenziali delle chiavi. Si noti che la getSecret
funzione è applicabile esclusivamente a una Microsoft.KeyVault/vaults
risorsa. Inoltre, è limitato all'utilizzo all'interno della params
sezione di un modulo e può essere usato solo con i parametri con l'elemento @secure()
Decorator.
Un'altra funzione denominata az.getSecret()
funzione può essere usata nei file di parametri Bicep per recuperare i segreti dell'insieme di credenziali delle chiavi. Per altre informazioni, vedere Recuperare i segreti nel file dei parametri.
Poiché la getSecret
funzione può essere usata solo nella params
sezione di un modulo. Creare un file sql.bicep nella stessa directory del file main.bicep con il contenuto seguente:
param sqlServerName string
param location string = resourceGroup().location
param adminLogin string
@secure()
param adminPassword string
resource sqlServer 'Microsoft.Sql/servers@2023-08-01-preview' = {
name: sqlServerName
location: location
properties: {
administratorLogin: adminLogin
administratorLoginPassword: adminPassword
version: '12.0'
}
}
Si noti che nel file Bicep precedente il adminPassword
parametro ha un @secure()
elemento Decorator.
Il file Bicep seguente usa sql.bicep come modulo. Il file Bicep fa riferimento a un insieme di credenziali delle chiavi esistente e chiama la funzione getSecret
per recuperare il segreto dell'insieme di credenziali delle chiavi e quindi passa il valore come parametro al modulo.
param sqlServerName string
param adminLogin string
param subscriptionId string
param kvResourceGroup string
param kvName string
resource kv 'Microsoft.KeyVault/vaults@2023-07-01' existing = {
name: kvName
scope: resourceGroup(subscriptionId, kvResourceGroup )
}
module sql './sql.bicep' = {
name: 'deploySQL'
params: {
sqlServerName: sqlServerName
adminLogin: adminLogin
adminPassword: kv.getSecret('vmAdminPassword')
}
}
Recuperare segreti nel file dei parametri
Se non si vuole usare un modulo, è possibile recuperare i segreti dell'insieme di credenziali delle chiavi nel file dei parametri. Tuttavia, l'approccio varia a seconda che si usi un file di parametri JSON o un file di parametri Bicep.
Il file Bicep seguente distribuisce un server SQL che include una password di amministratore. Il parametro della password è impostato su una stringa sicura, Tuttavia il file Bicep non specifica da dove proviene tale valore.
param sqlServerName string
param location string = resourceGroup().location
param adminLogin string
@secure()
param adminPassword string
resource sqlServer 'Microsoft.Sql/servers@2023-08-01-preview' = {
name: sqlServerName
location: location
properties: {
administratorLogin: adminLogin
administratorLoginPassword: adminPassword
version: '12.0'
}
}
Creare ora un file di parametri per il file Bicep precedente.
File dei parametri Bicep
az.getSecret
funzione può essere usata in un .bicepparam
file per recuperare il valore di un segreto da un insieme di credenziali delle chiavi.
using './main.bicep'
param sqlServerName = '<your-server-name>'
param adminLogin = '<your-admin-login>'
param adminPassword = az.getSecret('<subscription-id>', '<rg-name>', '<key-vault-name>', '<secret-name>', '<secret-version>')
File dei parametri JSON
Nel file di parametri JSON specificare un parametro che corrisponda al nome del parametro nel file Bicep. Per il valore del parametro, fare riferimento al segreto dall'insieme di credenziali delle chiavi. Si fa riferimento al segreto passando l'identificatore della risorsa dell'insieme di credenziali delle chiavi e il nome del segreto:
Nel file dei parametri seguente il segreto dell'insieme di credenziali delle chiavi deve esistere già e si deve fornire un valore statico per il relativo ID della risorsa.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"adminLogin": {
"value": "<your-admin-login>"
},
"adminPassword": {
"reference": {
"keyVault": {
"id": "/subscriptions/<subscription-id>/resourceGroups/<rg-name>/providers/Microsoft.KeyVault/vaults/<key-vault-name>"
},
"secretName": "ExamplePassword"
}
},
"sqlServerName": {
"value": "<your-server-name>"
}
}
}
Se è necessario usare una versione del segreto diversa dalla versione corrente, usare la proprietà secretVersion
.
"secretName": "ExamplePassword",
"secretVersion": "cd91b2b7e10e492ebb870a6ee0591b68"
Passaggi successivi
- Per informazioni generali sugli insiemi di credenziali delle chiavi, vedere Che cos'è Azure Key Vault?
- Per esempi completi di segreti della chiave di riferimento, vedere Esempi di insiemi di credenziali delle chiavi su GitHub.
- Per un modulo Microsoft Learn che tratta il passaggio di un valore protetto da un insieme di credenziali delle chiavi, vedere Gestire distribuzioni cloud complesse usando le funzionalità avanzate del modello di ARM.