Aracılığıyla paylaş

Azure Key Vault gizli dizileri için ortam değişkenlerini kullanma

  • Makale

Ortam değişkenleri, Azure Key Vault'ta depolanan gizli dizilere başvurmaya izin verir. Ardından bu gizli diziler, Power Automate akışları ve özel bağlayıcılar içerisinde kullanılabilir hale gelir. Gizli dizilerin, diğer özelleştirmelerde veya genel olarak API aracılığıyla kullanılabilir olmadığını unutmayın.

Gerçek gizli diziler Azure Key Vault'ta depolanır ve ortam değişkeni yalnızca anahtar kasasının gizli konumuna başvurur. Azure Key Vault gizli dizileri ortam değişkenleriyle kullanıldığında Power Platform'un başvurmak istediğiniz belirli gizli dizileri okuyabilmesi için Azure Key Vault'u yapılandırmanız gerekir.

Gizli dizilere başvuran ortam değişkenleri şu anda akışlarda Power Automate kullanılmak üzere dinamik içerik seçiciden kullanılamamaktadır.

Azure Key Vault'u yapılandırma

Azure Key Vault gizli dizilerini kullanmak Power Platform için, kasanın bulunduğu Azure aboneliğinde kaynak sağlayıcısının PowerPlatform kayıtlı olması ve ortam değişkenini oluşturan kullanıcının Azure Key Vault kaynağı için uygun izinlere sahip olması gerekir.

Önemli

  • Azure Key Vault içinde erişim izinlerini belirtmek için kullanılan güvenlik rolü son değişiklikler yapılmıştır. Önceki yönergeler, Anahtar Kasası Okuyucu rolünün atanmasıyla birlikte geliyordu. Anahtar kasanızı daha önce Key Vault Okuyucu rolüyle ayarladıysanız, kullanıcılarınızın ve Microsoft Dataverse gizli dizileri almak için yeterli izne sahip olduğundan emin olmak için Key Vault Gizli Diziler Kullanıcı rolünü eklediğinizden emin olun.
  • Anahtar kasanızı kasa erişim ilkesi izin modelini kullanacak şekilde yapılandırmış olsanız bile hizmetimizin güvenlik rolü atamasını değerlendirmek için Azure rol tabanlı erişim denetimi API'lerini kullandığını biliyoruz. Yapılandırmanızı basitleştirmek için kasa izin modelinizi Azure rol tabanlı erişim denetimine geçirmenizi öneririz. Bunu Erişim yapılandırması sekmesinde yapabilirsiniz.

  1. Kaynak sağlayıcısını Microsoft.PowerPlatform Azure aboneliğinize kaydedin. Doğrulamak ve yapılandırmak için şu adımları izleyin: Kaynak sağlayıcıları ve kaynak türleri

    Sağlayıcıyı Power Platform Azure kaydedin

  2. Azure Key Vault kasası oluşturun. İhlal durumunda tehdidi en aza indirmek için her Power Platform ortamında ayrı bir kasa kullanabilirsiniz. Anahtar kasanızı İzin modeli için Azure rol tabanlı erişim denetimi kullanacak şekilde yapılandırmayıgöz önünde bulundurun. Daha fazla bilgi: Azure Key Vault kullanmak için en iyi yöntemler,Hızlı Başlangıç - Azure portalıyla Azure Key Vault oluşturma

  3. Gizli dizi türünde ortam değişkenleri oluşturan veya kullanan kullanıcıların gizli içeriği alma iznine sahip olması gerekir. Yeni bir kullanıcıya gizli diziyi kullanma olanağı vermek için Erişim denetimi (IAM) alanını seçin , Ekle'yi seçin ve ardından açılan listeden Rol atamasıekle'yi seçin . Daha fazla bilgi: Azure rol tabanlı erişim denetimiyle Key Vault anahtarlarına, sertifikalara ve gizli dizilere erişim sağlama

    Azure'daki erişimimi görüntüle

  4. Rol atama ekleme sihirbazında , varsayılan atama türünü İş işlevi rolleri olarak bırakın ve Rol sekmesine devam edin . Key Vault Gizli Diziler Kullanıcı rolünü bulun ve seçin. Üyeler sekmesine devam edin ve Üye seçilişkilendirmek öğesini seçin ve yan panelde kullanıcıyı bulun. Kullanıcı seçildiğinde ve üyeler bölümünde gösterildiğinde, gözden geçir ve ata sekmesine devam edin ve sihirbazı tamamlayın.

  5. Azure Key Vault, hizmet sorumlusuna verilmiş Key Vault Gizli Diziler Kullanıcı rolüne Dataverse sahip olmalıdır. Bu kasa için mevcut değilse, daha önce son kullanıcı izni için kullandığınız yöntemi kullanarak, yalnızca kullanıcı yerine Dataverse uygulama kimliğini girip yeni bir erişim ilkesi ekleyin. Kiracınızda birden fazla Dataverse hizmet sorumlusu varsa hepsini seçmenizi ve rol atamasını kaydetmenizi öneririz. Rol atandıktan sonra, rol atamaları listesinde listelenen her Dataverse öğesini inceleyin ve ayrıntıları görüntülemek için Dataverse adını seçin. Uygulama Kimliği değilse, kimliği seçin ve ardından listeden kaldırmak için Kaldır'ı 00000007-0000-0000-c000-000000000000** seçin .

  6. Azure Key Vault Güvenlik Duvarı'nı etkinleştirdiyseniz, IP adreslerinin anahtar kasanıza erişmesine izin Power Platform vermeniz gerekir. Power Platform "Yalnızca Güvenilen Hizmetler" seçeneğine dahil değildir. Power Platform Hizmette kullanılan geçerli IP adresleri için URL'lere ve IP adresi aralıklarına gidin.

  7. Bu işlemi henüz gerçekleştirmediyseniz yeni kasanıza bir gizli dizi ekleyin. Daha fazla bilgi: Azure Hızlı Başlangıç - Azure portal kullanarak Key Vault'tan gizli dizi ayarlama ve alma

Key Vault gizli dizisi için yeni bir ortam değişkeni oluşturma

Azure Key Vault yapılandırıldıktan sonra ve kasanızda kayıtlı bir gizli dizi olduğunda artık Power Apps içinde bir ortam değişkeni kullanarak bu gizli diziye başvurabilirsiniz.

Not

  • Gizli dizinin kullanıcı erişimi doğrulaması arka planda gerçekleştirilir. Kullanıcının en azından okuma izni yoksa bu doğrulama hatası görüntülenir: "Bu değişken düzgün kaydedilmedi. Kullanıcının 'Azure Key Vault yolundaki' gizli dizileri okuma yetkisi yok."
  • Şu anda Azure Key Vault, ortam değişkenleriyle desteklenen tek gizli dizi deposudur.
  • Azure Key Vault, Power Platform aboneliğinizle aynı kiracıda olmalıdır.

  1. Oturum açın Power Apps ve Çözümler alanında, geliştirme için kullanmakta olduğunuz yönetilmeyen çözümü açın.

  2. Yeni Daha Fazla>Ortam değişkeni'ni> seçin.

  3. Bir görünen ad ve isteğe bağlı olarak, ortam değişkeni için bir Açıklama girin.

  4. Veri türünü Gizli dizi ve Gizli dizi deposunu Azure Key Vault olarak seçin.

  5. Aşağıdaki seçeneklerden birini seçin:

    • Yeni Azure Key Vault değer başvurusu'nu seçin. Bilgiler bir sonraki adımda eklendikten ve kaydedildikten sonra, bir ortam değişkeni değer kaydı oluşturulur.
    • Varsayılan Azure Key Vault gizli dizisi oluşturmaküzere alanları görüntülemek için Varsayılan değeri göster'i genişletin. Bilgiler bir sonraki adımda eklendikten ve kaydedildikten sonra, varsayılan değer sınırlaması ortam değişkeni tanım kaydına eklenir.

  6. Aşağıdaki bilgileri girin:

    • Azure Abonelik Kimliği: Anahtar kasasıyla ilişkili Azure abonelik kimliği.

    • Kaynak Grubu Adı: Gizli diziyi içeren anahtar kasasının bulunduğu Azure kaynak grubu.

    • Azure Anahtar Kasası Adı: Gizli diziyi içeren anahtar kasasının adı.

    • Gizli Dizi Adı: Azure Key Vault'ta bulunan gizli dizinin adı.

      İpucu

      Abonelik kimliği, kaynak grubu adı ve anahtar kasası adı, anahtar kasasının Azure portalına Genel Bakış sayfasında bulunabilir. Gizli dizi adı, Azure portalındaki anahtar kasası sayfasında Ayarlar altında Gizli Diziler seçilerek bulunabilir.

  7. Kaydet'i seçin.

Ortam değişkeni gizli dizisini sınamak için bir Power Automate akışı oluşturma

Azure Key Vault'tan elde edilen bir gizli dizinin nasıl kullanılacağını gösteren basit senaryo, bir web hizmetinin kimliğini doğrulamak için gizli diziyi kullanarak Power Automate akışı oluşturmaktır.

Not

Bu örnekteki web hizmetinin URI'si, çalışır durumda bir web hizmeti değildir.

  1. Oturum açın, Çözümler'i Power Apps seçinve ardından istediğiniz yönetilmeyen çözümü açın. Öğe yan panel bölmesinde yoksa ...Diğer'i ve ardından istediğiniz öğeyi seçin.

  2. Yeni>Otomasyon>Bulut akışı>Anlık'ı seçin.

  3. Akış için bir ad girin, Akışı el ile tetikle'yi veardından Oluştur'u seçin.

  4. Yeni adım'ı seçin , bağlayıcıyıseçin ve ardından Eylemler Microsoft Dataverse sekmesinde İlişkisiz eylem gerçekleştir'i seçin .

  5. Açılan listeden RetrieveEnvironmentVariableSecretValue adlı eylemi seçin.

  6. Önceki bölümde eklenen ortam değişkeni benzersiz adını (görünen ad değil) sağlayın, bu örnek için new_TestSecret kullanılır.

  7. Seç ...>Yeniden Adlandır : Sonraki eylemde daha kolay başvurulabilmesi için eylemi yeniden adlandırmak için. Bu ekran görüntüsünde GetSecret olarakyeniden adlandırılmıştır.

    Ortam değişkeni gizli dizisini test etmek için anlık akış yapılandırması

  8. Seç ...>GetSecret eylem ayarlarını görüntülemek için ayarlar .

  9. Ayarlarda Güvenli Çıkışlar seçeneğini etkinleştirin ve ardından Bitti'yi seçin. Bu işlem, eylem çıkışının akış çalıştırma geçmişinde açılmasını önlemek içindir.

    Eylem için güvenli çıkışlar ayarını etkinleştir

  10. Yeni adım'ı seçin, arayın ve HTTP bağlayıcısını seçin.

  11. Yöntemi GET olarak seçin ve web hizmetinin URI'sini girin. Bu örnekte, kurgusal web hizmeti httpbin.org kullanılmıştır.

  12. Gelişmiş seçenekleri göster'i seçin , Kimlik Doğrulama'yı Temel olarak seçin ve ardından Kullanıcı Adı'nı girin.

  13. Parola alanını seçin ve ardından yukarıdaki akış adımı adının altındaki Dinamik içerik sekmesinde (bu örnekte GetSecret ) RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue'yu seçinve bu değer daha sonra bir ifade outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] olarak eklenir veya body('GetSecretTest')['EnvironmentVariableSecretValue'].

    HTTP bağlayıcısını kullanarak yeni bir adım oluşturma

  14. Seç ...>HTTP eylem ayarlarını görüntülemek için Ayarlar'ı tıklayın.

  15. Ayarlarda Güvenli Girişler ve Güvenli Çıkışlar seçeneklerini etkinleştirin ve ardından Bitti'yi seçin. Bu seçeneklerin etkinleştirilmesi, işlemin giriş ve çıkışlarının akış çalıştırma geçmişinde gösterilmesini önlemek içindir.

  16. Akışı oluşturmak için Kaydet'i seçin .

  17. Akışı sınamak için el ile çalıştırın.

    Çıkışlar, akışın çalıştırma geçmişi kullanılarak doğrulanabilir.

    Akış çıkışı

Ortam değişkeni gizli dizilerini kullanma Microsoft Copilot Studio

Ortam değişkeni gizli dizileri Microsoft Copilot Studio biraz farklı çalışır. Ortam değişkenleriyle gizli dizileri kullanmak için Key Vault Azure Yapılandırma ve Key Vault gizli dizisi için yeni bir ortam değişkeni oluşturma bölümlerindeki adımları uygulamanız gerekir.

Azure Key Vault'a erişim izni verme Copilot Studio

Aşağıdaki adımları izleyin:

  1. Azure Key Vault'a geri dönün.

  2. Copilot Studio Anahtar kasasına erişmesi gerekiyor. Gizli diziyi Copilot Studio kullanma olanağı vermek için sol gezinti bölmesinde Erişim denetimi (IAM) öğesini seçin, Ekle'yi ve ardından Rol ataması ekle'yi seçin.

    Azure'daki erişimimi görüntüle

  3. Key Vault Gizli Diziler Kullanıcı rolünü seçin ve ardından İleri'yi seçin.

  4. Üye Seç'i seçin , Hizmet'i Power Virtual Agents arayın, seçin ve ardından Seç'i seçin.

  5. Ekranın alt kısmındaki Gözden geçir + ata'yı seçin . Bilgileri gözden geçirin ve her şey doğruysa Gözden geçir + ata'yı yeniden seçin .

Yardımcı pilot bir Azure Key Vault içindeki gizli diziye erişmesine izin vermek için bir etiket ekleyin

Bu bölümdeki önceki adımları tamamlayarak,artık Copilot Studio Azure Key Vault'a erişebilir, ancak henüz kullanamazsınız. Görevi tamamlamak için şu adımları izleyin:

  1. Microsoft Copilot Studio Ortam değişkeni gizli dizisi için kullanmak istediğiniz aracı gidin ve açın veya yeni bir tane oluşturun.

  2. Bir aracı konu açın veya yeni bir tane oluşturun.

  3. Düğüm eklemek için simgeyi + seçin ve ardından İleti gönder'i seçin.

  4. İleti {x} gönder düğümünde Değişken ekle seçeneğini belirleyin.

  5. Ortam sekmesini seçin. Key Vault gizli dizisi için yeni bir ortam değişkeni oluşturadım bölümünde oluşturduğunuz ortam değişkeni gizli dizisini seçin.

  6. Konunuzu kaydetmek için Kaydet'i seçin .

  7. Test bölmesinde, secret ortam değişkeniyle İleti gönder düğümünü az önce eklediğiniz konu başlangıç tümceciklerinden birini kullanarak konunuzu test edin. Şuna benzer bir hatayla karşılaşmalısınız:

    Hata mesajı: Botun ortam değişkenini kullanmasına izin verilmiyor. Botu izin verilenler listesine eklemek için değerli bir 'AllowedBots' etiketi ekleyin.

    Bu, Azure Key Vault geri dönmeniz ve gizli diziyi düzenlemeniz gerektiği anlamına gelir. Açık bırakın Copilot Studio , çünkü buraya daha sonra geri dönersiniz.

  8. Azure Key Vault'a gidin. Sol gezinti bölmesinde, Nesneler'in altında Gizli Diziler'i seçin . Adı seçerek kullanılabilir Copilot Studio hale getirmek istediğiniz gizli diziyi seçin.

  9. Gizli dizinin sürümünü seçin.

  10. Etiketler'in yanındaki 0 etiketi'ni seçin. Bir etiket adı ve bir etiket değeri ekleyin. 'daki Copilot Studio hata iletisi size bu iki özelliğin tam değerlerini vermelidir. Etiket Adı altında AllowedBots'u eklemeniz ve Etiket Değeri'nde hata mesajında görüntülenen değeri eklemeniz gerekir. Bu değer şu şekilde {envId}/{schemaName} biçimlendirilir. İzin verilmesi gereken birden çok yardımcı pilot varsa, değerleri virgülle ayırın. İşlem sona erdiğinde Tamam öğesini seçin.

  11. Etiketi gizli diziye uygulamak için Uygula'yı seçin .

  12. Geri dön. Copilot Studio Yardımcı pilot testinizi yapın bölmesinde Yenile'yi seçin .

  13. Test bölmesinde, konu'nun başlangıç tümceciklerinden birini kullanarak konunuzu yeniden sınayın.

Gizli dizinizin değeri test panelinde gösterilmelidir.

Bir ortamdaki tüm yardımcı pilotların Azure Key Vault'taki gizli diziye erişmesine izin vermek için bir etiket ekleyin

Alternatif olarak, bir ortamdaki tüm yardımcı pilotların Azure Key Vault'taki gizli diziye erişmesine izin verebilirsiniz. Görevi tamamlamak için şu adımları izleyin:

  1. Azure Key Vault'a gidin. Sol gezinti bölmesinde, Nesneler'in altında Gizli Diziler'i seçin . Adı seçerek kullanılabilir Copilot Studio hale getirmek istediğiniz gizli diziyi seçin.
  2. Gizli dizinin sürümünü seçin.
  3. Etiketler'in yanındaki 0 etiketi'ni seçin. Bir etiket adı ve bir etiket değeri ekleyin. Etiket Adı'nın altına AllowedEnvironments'ı ekleyin ve Etiket Değeri'ne izin vermek istediğiniz ortamın ortam kimliğini ekleyin. İşiniz bittiğinde Tamam'ı seçin
  4. Etiketi gizli diziye uygulamak için Uygula'yı seçin .

Sınırlama

Azure Key Vault gizli dizilerine başvuran ortam değişkenleri şu anda akışlar Power Automate , aracılar ve özel bağlayıcılarla Copilot Studio kullanım için sınırlıdır.

Ayrıca bkz.

Tuval uygulamalarında veri kaynağı ortam değişkenleri kullanma
Power Automate çözümü bulut akışlarında ortam değişkenlerini kullanma
Ortam değişkenlerine genel bakış.