Guida introduttiva: collegare i servizi Azure e archiviare le chiavi segrete in Azure Key Vault
Azure Key Vault è un servizio cloud che offre un archivio sicuro per i segreti. È possibile archiviare in modo sicuro chiavi, password, certificati e altri segreti. Quando si crea una connessione di servizio, è possibile memorizzare in modo sicuro chiavi di accesso e chiavi segrete nel Key Vault connesso. In questa esercitazione vengono completate le attività seguenti usando il portale di Azure. I due metodi sono illustrati nelle procedure seguenti.
- Creare una connessione di servizio a Azure Key Vault in Servizio app di Azure
- Creare una connessione di servizio ad Archiviazione BLOB di Azure e archiviare le chiavi segrete in Key Vault
- Visualizzare chiavi segrete in Azure Key Vault
Prerequisiti
Per creare una connessione di servizio e archiviare le chiavi segrete in Key Vault con il Connettore di servizi, è necessario:
- Conoscenze di base sull'uso di Connettore di servizi
- Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
- Un'app ospitata nel Servizio app. Se non è ancora disponibile, creare e distribuire un'app nel Servizio app
- Un insieme di credenziali delle chiavi di Azure. Se non si dispone di un account, creare un Azure Key Vault
- Un'altra istanza del servizio di destinazione supportata da Connettore di servizi. In questa esercitazione si userà Archiviazione BLOB di Azure
- Accesso in lettura e scrittura ai servizio app, Key Vault e al servizio di destinazione.
Creare una connessione all'insieme di credenziali delle chiavi nel Servizio app
Per archiviare le chiavi di accesso e le chiavi segrete in un insieme di credenziali delle chiavi, iniziare collegando il proprio App Service a un insieme di credenziali delle chiavi.
Nel portale di Azure, digitare Servizio app nel menu di ricerca e selezionare il nome del Servizio app che si vuole usare dall'elenco.
Selezionare Connettore di servizi nel sommario a sinistra. Selezionare Crea.
Selezionare o immettere le impostazioni seguenti.
Impostazione Valore suggerito Descrizione Tipo di servizio Insieme di credenziali delle chiavi di Tipo di servizio di destinazione. Se non si dispone di un Key Vault, crearne uno. Abbonamento Una delle sottoscrizioni. La sottoscrizione in cui è distribuito il servizio di destinazione. Il servizio di destinazione è un servizio a cui ci si vuole connettere. Il valore predefinito è la sottoscrizione elencata per il Servizio app. Nome connessione Nome univoco generato Nome della connessione che identifica la connessione tra il servizio app e il servizio di destinazione Nome dell'insieme di credenziali delle chiavi Nome dell'insieme di credenziali delle chiavi Insieme di credenziali delle chiavi di destinazione a cui connettersi. Tipo client Lo stesso stack di app in questo servizio app Stack di applicazioni che funziona con il servizio di destinazione selezionato. Il valore predefinito proviene dallo stack di runtime del servizio app. Selezionare Avanti: Autenticazione per selezionare il tipo di autenticazione. Quindi selezionare Identità gestita assegnata al sistema per collegare il Key Vault.
Selezionare Avanti: Rete per selezionare la configurazione di rete. Selezionare quindi Abilitare le impostazioni del firewall per aggiornare l'elenco di elementi consentiti del firewall in Key Vault in modo che il Servizio app possa raggiungere il Key Vault.
Successivamente, selezionare Avanti: Rivedi + crea per esaminare le informazioni fornite. Selezionare Crea per creare la connessione di servizio. Il completamento dell'operazione può richiedere fino a un minuto.
Creare una connessione all'Archiviazione BLOB nel Servizio app e archiviare le chiavi di accesso in Key Vault
È ora possibile creare una connessione al servizio a un altro servizio di destinazione e archiviare direttamente le chiavi di accesso in un insieme di credenziali delle chiavi connesso quando si usa una chiave di stringa di connessione/accesso o un'entità servizio per l'autenticazione. L'archiviazione BLOB viene usata come esempio di seguito. Seguire lo stesso processo per altri servizi di destinazione.
Nel portale di Azure, digitare Servizio app nel menu di ricerca e selezionare il nome del Servizio app che si vuole usare dall'elenco.
Selezionare Connettore di servizi nel sommario a sinistra. Selezionare Crea.
Selezionare o immettere le impostazioni seguenti.
Impostazione Valore suggerito Descrizione Tipo di servizio Archiviazione BLOB Tipo di servizio di destinazione. Se non si dispone di un contenitore BLOB di archiviazione, è possibile crearne uno o usare un altro tipo di servizio. Abbonamento Una delle sottoscrizioni La sottoscrizione in cui è distribuito il servizio di destinazione. Il servizio di destinazione è un servizio a cui ci si vuole connettere. Il valore predefinito è la sottoscrizione elencata per il Servizio app. Nome connessione Nome univoco generato Nome della connessione che identifica la connessione tra il servizio app e il servizio di destinazione. Account di archiviazione Account di archiviazione Account di archiviazione di destinazione a cui si desidera connettersi. Se si sceglie un tipo di servizio diverso, selezionare l'istanza del servizio di destinazione corrispondente. Tipo client Lo stesso stack di app in questo servizio app Stack di applicazioni che funziona con il servizio di destinazione selezionato. Il valore predefinito proviene dallo stack di runtime del servizio app. Configurazione dell'autenticazione
Importante
Microsoft consiglia di usare il flusso di autenticazione più sicuro disponibile. Il flusso di autenticazione descritto in questa procedura richiede un livello di attendibilità molto elevato nell'applicazione e comporta rischi che non sono presenti in altri flussi. Si consiglia di usare questo flusso solo quando altri flussi più sicuri, come le identità gestite, non sono validi.
Selezionare Avanti: Autenticazione per scegliere il tipo di autenticazione e selezionare Stringa di connessione per utilizzare una chiave di accesso per collegare l'account di archiviazione.
Impostazione Valore suggerito Descrizione Archiviare la chiave segreta in Key Vault Segno di spunta Questa opzione consente al Connettore di servizi di archiviare la stringa di connessione/chiave di accesso nel Key Vault. Connessione di Key Vault Una delle connessioni di Key Vault Selezionare il Key Vault in cui si vuole archiviare la stringa di connessione/chiave di accesso. Selezionare Avanti: rete e Abilitare le impostazioni del firewall per aggiornare l'elenco di elementi consentiti del firewall in Key Vault in modo che il Servizio app possa raggiungere il Key Vault.
Successivamente, selezionare Avanti: Rivedi + crea per esaminare le informazioni fornite.
Selezionare Crea per creare la connessione di servizio. Il completamento dell'operazione potrebbe richiedere fino a un minuto.
Visualizzare la configurazione in Key Vault
Espandere la connessione all'Archiviazione BLOB e selezionare Valore nascosto. Fare clic per mostrare il valore . È possibile vedere che il valore è un riferimento a Key Vault.
Selezionare il Key Vault nella colonna Tipo di servizio della connessione al Key Vault. Si verrà reindirizzati alla pagina del portale di Key Vault.
Selezionare Chiavi segrete nel menu di navigazione a sinistra del Key Vault e selezionare il nome della chiave segreta dell'archiviazione BLOB.
Suggerimento
Non si è autorizzati per elencare le chiavi segrete? Fare riferimento alla risoluzione dei problemi di Azure Key Vault.
Selezionare un ID versione dall'elenco Versione corrente.
Selezionare Mostra valore chiave segreta per ottenere la stringa di connessione di questa connessione all'archiviazione BLOB.
Pulire le risorse
Quando non sono più necessari, eliminare il gruppo di risorse e tutte le risorse correlate create per questa esercitazione. A tale scopo, selezionare un gruppo di risorse o le risorse individuali che sono state create e selezionare Elimina.