Compartilhar via

Usar variáveis de ambiente em segredos do Azure Key Vault

  • Artigo

As variáveis de ambiente permitem referenciar segredos armazenados no Azure Key Vault. Esses segredos são então disponibilizados para uso nos fluxos e nos conectores personalizados do Power Automate. Observe que os segredos não estão disponíveis para uso em outras personalizações ou de forma geral por meio da API.

Os segredos reais são armazenados no Azure Key Vault e a variável de ambiente faz referência ao local do segredo do cofre de chaves. O uso de segredos do Azure Key Vault com variáveis de ambiente exige a configuração do Azure Key Vault para que o Power Platform possa ler os segredos específicos que você deseja referenciar.

Variáveis de ambiente que fazem referência a segredos não estão disponíveis no seletor de conteúdo dinâmico para uso em fluxos. Power Automate

Configurar o Azure Key Vault

Para usar os segredos do Azure Key Vault com Power Platform, a assinatura do Azure que possui o vault deve ter o PowerPlatform provedor de recursos registrado e o usuário que cria a variável de ambiente deve ter as permissões apropriadas para o recurso do Azure Key Vault.

Importante

  • There são alterações recentes no direito de acesso usado para afirmar permissões de acesso dentro do Azure Key Vault. As instruções anteriores incluíam a atribuição da função Key Vault Reader. Se você configurou seu cofre de chaves anteriormente com a função Leitor do Cofre de Chaves, certifique-se de adicionar a função Usuário de Segredos do Cofre de Chaves para garantir que seus usuários tenham permissão suficiente para recuperar os segredos. Microsoft Dataverse
  • Reconhecemos que nosso serviço está usando as APIs de controle de acesso baseadas em funções do Azure para avaliar a atribuição de direito de acesso, mesmo que você ainda tenha seu Key Vault configurado para usar o modelo de permissão de política de acesso ao cofre. Para simplificar a configuração, recomendamos que você mude seu modelo de permissão de cofre para o controle de acesso baseado em função do Azure. Você pode fazer isso na guia Configuração de acesso .

  1. Registre o Microsoft.PowerPlatform provedor de recursos na sua assinatura Azure. Siga estas etapas para verificar e configurar: Provedores de recursos e tipos de recursos

    Registre o Power Platform provedor em Azure

  2. Crie um cofre do Azure Key Vault. Considere o uso de um cofre separado para cada ambiente do Power Platform a fim de minimizar a ameaça em caso de violação. Considere configurar seu cofre de chaves para usar Azure controle de acesso baseado em função para o modelo de permissão. Mais informações: Melhores práticas para usar o Azure Key Vault, Início rápido - Crie um Azure Key Vault com o portal Azure

  3. Os usuários que criam ou usam variáveis de ambiente do tipo segredo devem ter permissão para recuperar o conteúdo do segredo. Para conceder a um novo usuário a capacidade de usar o segredo, Select a área Controle de acesso (IAM) , Select Adicionar e, em seguida, Select Adicionar atribuição de função no menu suspenso. Mais informações: Forneça acesso às chaves, certificados e segredos do Key Vault com um controle de acesso baseado em função Azure

    Ver meu acesso em Azure

  4. No assistente Adicionar atribuição de função , deixe o tipo de atribuição padrão como Funções de função de trabalho e continue para a guia Função . Localize a função Usuário de segredos do Key Vault e clique em Select. Continue até a aba de membros e Select os Select membros vincular e localize o usuário no painel lateral. Quando tiver o usuário selecionado e exibido na seção de membros, vá para a guia revisar e atribuir e conclua o assistente.

  5. Azure O Key Vault deve ter a função Key Vault Secrets User concedida ao Dataverse principal de serviço. Se não existir para este cofre, adicione uma nova política de acesso com o mesmo método usado anteriormente para a permissão do usuário final, usando apenas a identidade da aplicação Dataverse em vez do usuário. Se você tiver várias entidades de serviço Dataverse em seu locatário, recomendamos que selecione todas elas e salve a atribuição de função. Assim que a função for atribuída, revise cada item listado no Dataverse na lista de atribuições de função e selecione o nome Dataverse para visualizar os detalhes. Se o ID do aplicativo não for 00000007-0000-0000-c000-000000000000**, então Select a identidade e então Select Remover para removê-lo da lista.

  6. Se você habilitou o Azure Key Vault Firewall, você precisa permitir Power Platform que endereços IP acessem seu cofre de chaves. O Power Platform não está incluído na opção "Somente Serviços Confiáveis". Acesse Power Platform URLs e intervalos de endereços IP para os endereços IP atuais usados no serviço.

  7. Se ainda não o fez, adicione um segredo ao seu novo cofre. Mais informações: Azure Início rápido - Definir e recuperar um segredo do Key Vault usando o portal Azure

Criar uma nova variável de ambiente para o segredo do Key Vault

Depois que o Azure Key Vault estiver configurado e você tiver um segredo registrado no seu cofre, será possível referenciá-lo no Power Apps usando uma variável de ambiente.

Observação

  • A validação de acesso do usuário para o segredo é executada em segundo plano. Se o usuário não tiver, pelo menos, permissão de leitura, este erro de validação será exibido: "Esta variável não foi salva corretamente. O usuário não está autorizado a ler segredos do 'caminho do Azure Key Vault'."
  • Atualmente, o Azure Key Vault é o único repositório de segredos com suporte para variáveis de ambiente.
  • O Azure Key Vault deve estar no mesmo locatário que sua assinatura do Power Platform.

  1. Entre em Power Apps e, na área Soluções , abra a solução não gerenciada que você está usando para desenvolvimento.

  2. Select Novo>Mais>Variável de ambiente.

  3. Insira um Nome de exibição e, opcionalmente, uma Descrição para a variável de ambiente.

  4. Select o tipo de dados como secreto e armazenamento secreto como Azure Cofre de chaves.

  5. Escolha entre as seguintes opções:

    • Select New Azure Referência de valor do Key Vault. Depois que as informações são adicionadas no próximo etapa e salvas, um registro de variável de ambiente valor é criado.
    • Expanda Mostrar valor padrão para exibir os campos para criar um Segredo do Key Vault Azure padrão. Depois que as informações são adicionadas no próximo etapa e salvas, a demarcação do valor padrão é adicionada ao registro da variável de ambiente definição .

  6. Insira as seguintes informações:

    • Azure ID de assinatura: O ID de assinatura Azure associado ao cofre de chaves.

    • Nome do grupo de recursos: O grupo de recursos Azure onde o cofre de chaves que contém o segredo está localizado.

    • Azure Nome do cofre de chaves: O nome do cofre de chaves que contém o segredo.

    • Nome do segredo: O nome do segredo localizado no Azure Key Vault.

      Dica

      A ID da assinatura, o nome do grupo de recursos e o nome do cofre de chaves podem ser encontrados na página Visão geral do cofre de chaves no portal do Azure. O nome do segredo pode ser encontrado na página do cofre de chaves no portal do Azure selecionando Segredos em Configurações.

  7. Selecione Salvar.

Criar um fluxo do Power Automate para testar o segredo da variável de ambiente

Um cenário simples para demonstrar como usar um segredo obtido do Azure Key Vault é criar um fluxo do Power Automate para usar o segredo na autenticação em um serviço Web.

Observação

O URI do serviço Web neste exemplo não é um serviço Web funcional.

  1. Faça login em Power Apps, Select Soluções e abra a solução não gerenciada desejada. Se o item não estiver no painel lateral, selecione …Mais e selecione o item desejado.

  2. Selecione Novo>Automação>Fluxo da nuvem>Instantâneo.

  3. Insira um nome para o fluxo, Select Manually Gatilho a flow, e depois Select Criar.

  4. Select New etapa, Select o Microsoft Dataverse conector e, em seguida, na guia Ações , Select Executar uma ação não vinculada.

  5. Select a ação chamada RetrieveEnvironmentVariableSecretValue da lista suspensa.

  6. Forneça o nome exclusivo da variável de ambiente (não o nome de exibição) adicionado na seção anterior. Para este exemplo, new_TestSecret é usado.

  7. Select ...>Renomear para renomear a ação para que ela possa ser referenciada mais facilmente na próxima ação. Nesta captura de tela, ele foi renomeado para GetSecret.

    Configuração de fluxo instantâneo para testar uma variável de ambiente secreta

  8. Select ...>Configurações para exibir as configurações da ação GetSecret .

  9. Habilite a opção Saídas Seguras nas configurações e depois Select Concluído. Isso é para evitar que a saída da ação seja exposta no histórico de execuções do fluxo.

    Habilitar configuração de saídas seguras para a ação

  10. Select New etapa, pesquise e Select o conector HTTP .

  11. Select o Método como GET e insira o URI para o serviço web. Neste exemplo, o serviço web fictício httpbin.org é usado.

  12. Select Mostrar opções avançadas, Select a Autenticação como Básica e, em seguida, insira o Nome de usuário.

  13. Select o campo Senha e, em seguida, na guia Conteúdo dinâmico , sob o nome do fluxo etapa acima (GetSecret neste exemplo), Select RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, que é então adicionado como uma expressão outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] ou body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Crie um novo etapa usando o conector HTTP

  14. Select ...>Configurações para exibir as configurações de ação HTTP .

  15. Habilite as opções Entradas Seguras e Saídas Seguras nas configurações e depois Select Concluído. A habilitação dessas opções evita que a entrada e as saídas da ação sejam expostas no histórico de execuções do fluxo.

  16. Select Salve para criar o fluxo.

  17. Execute o fluxo manualmente para testá-lo.

    Usando o histórico de execuções do fluxo, as saídas podem ser verificadas.

    Saída de fluxo

Use segredos de variáveis de ambiente em Microsoft Copilot Studio

Os segredos das variáveis de ambiente funcionam de maneira um pouco diferente. Microsoft Copilot Studio Você precisa executar as etapas nas seções em Configurar Azure Key Vault e Criar uma nova variável de ambiente para o segredo do Key Vault para usar segredos com variáveis de ambiente.

Dê Copilot Studio acesso ao Key Vault Azure

Siga as etapas a seguir:

  1. Go back para seu Cofre de Chaves Azure.

  2. Copilot Studio precisa acessar o cofre de chaves. Para conceder Copilot Studio a capacidade de usar o segredo, Select Controle de acesso (IAM) na navegação à esquerda, Select Adicionar e, em seguida, Select Adicionar atribuição de função.

    Ver meu acesso em Azure

  3. Select a função Usuário de segredos do Key Vault e depois Select Avançar.

  4. Select Select Membros, pesquisem por Power Virtual Agents Serviço, Select e então escolham Select.

  5. Select Revisar + atribuir na parte inferior da tela. Revise as informações e Select Revise + atribua novamente se tudo estiver correto.

Adicione uma tag para permitir que um copiloto acesse o segredo no Azure Key Vault

Ao concluir as etapas anteriores nesta seção, Copilot Studio agora você tem acesso ao Cofre de Chaves Azure, mas ainda não pode usá-lo. Para completar o tarefa, siga estes passos:

  1. Vá para Microsoft Copilot Studio e abra o agente que você deseja usar para a variável de ambiente secreta ou crie uma nova.

  2. Abra um agente tópico ou crie um novo.

  3. Select o + ícone para adicionar um nó e então Select Enviar uma mensagem.

  4. Select a opção Inserir variável {x} no nó Enviar uma mensagem .

  5. Select a aba Ambiente . Select o segredo da variável de ambiente que você criou em Criar uma nova variável de ambiente para o segredo do Key Vault etapa.

  6. Selecione Salvar para salvar o tópico.

  7. No painel de teste, teste seu tópico usando uma das frases iniciais do tópico onde você acabou de adicionar o nó Enviar uma mensagem com a variável de ambiente secreta. Você deve encontrar um erro parecido com este:

    Mensagem de erro: bot não tem permissão para usar a variável de ambiente. Para adicionar o bot à lista de permitidos, adicione uma tag 'AllowedBots' com valor.

    Isso significa que você precisa Go back para Azure Key Vault e editar o segredo. Deixe Copilot Studio em aberto, porque você volta Here mais tarde.

  8. Acesse o Cofre de Chaves Azure. Na navegação à esquerda, Select Segredos em Objetos. Select o segredo que você deseja disponibilizar em Copilot Studio selecionando o nome.

  9. Select a versão do segredo.

  10. Select 0 tags ao lado de Tags. Adicione um Nome da Tag e um Valor da Tag. A mensagem de erro em Copilot Studio deve fornecer os valores exatos dessas duas propriedades. Em Nome da tag , você precisa adicionar AllowedBots e em Valor da tag , você precisa adicionar o valor que foi exibido na mensagem de erro. Este valor é formatado como {envId}/{schemaName}. Se There forem vários copilotos que precisam ser permitidos, separe os valores com uma vírgula. Ao concluir, selecione OK.

  11. Select Aplicar para aplicar a tag ao segredo.

  12. Go back para Copilot Studio. Select Atualizar no painel Testar seu copiloto .

  13. No painel de teste, teste seu tópico novamente usando uma das frases iniciais do tópico.

O valor do seu segredo deve ser mostrado no painel de teste.

Adicione uma tag para permitir que todos os copilotos em um ambiente acessem o segredo no Key Vault Azure

Como alternativa, você pode permitir que todos os copilotos em um ambiente acessem o segredo no Key Vault Azure. Para completar o tarefa, siga estes passos:

  1. Acesse o Cofre de Chaves Azure. Na navegação à esquerda, Select Segredos em Objetos. Select o segredo que você deseja disponibilizar em Copilot Studio selecionando o nome.
  2. Select a versão do segredo.
  3. Select 0 tags ao lado de Tags. Adicione um Nome da Tag e um Valor da Tag. Em Nome da tag adicione AllowedEnvironments e em Valor da tag adicione o ID do ambiente que você deseja permitir. Quando terminar, Select OK
  4. Select Aplicar para aplicar a tag ao segredo.

Limitação

Variáveis de ambiente que fazem referência a Azure Os segredos do Key Vault estão atualmente limitados para uso com Power Automate fluxos, Copilot Studio agentes e conectores personalizados.

Ver também

Usar variáveis de ambiente de fonte de dados em aplicativos de tela
Usar variáveis de ambiente em fluxos da nuvem de solução do Power Automate
Visão geral das variáveis de ambiente.