快速入門:連線到 Azure 服務並將祕密儲存在 Azure Key Vault 中
Azure Key Vault 是一項雲端服務,可為祕密提供安全的存放區。 您也可以安全地儲存金鑰、密碼、憑證和其他祕密。 當您建立服務連線,您可以安全地將存取金鑰和秘密儲存至連線的 Key Vault。 在本教學課程中,您會使用 Azure 入口網站 來完成下列工作。 下列程序會說明這兩種方法。
- 在 Azure App Service 中建立與 Azure Key Vault 的連線
- 建立與 Azure Blob 儲存體的服務連線,並將秘密儲存在 Key Vault 中
- 檢視 Key Vault 中的秘密
必要條件
若要使用服務連接器建立服務連線,並將秘密儲存在 Key Vault 中,您需要:
- 使用服務連接器的基本知識
- 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
- 裝載於 App Service 上的應用程式。 如果您還沒有,請建立應用程式並將其部署至App Service
- Azure Key Vault。 如果您沒有,請建立 Azure Key Vault
- 服務連接器支援的另一個目標服務執行個體。 在本教學課程中,您會使用 Azure Blob 儲存體
- 對 App Service、金鑰保存庫 和目標服務的讀取和寫入存取權。
在 App Service 中建立 Key Vault 連線
若要將連線存取金鑰和秘密儲存至金鑰保存庫,請以 App Service 連線至金鑰保存庫做為開始。
在 Azure 入口網站中,在搜尋功能表中輸入 App Service,然後從清單中選取您想要使用的 App Service 名稱。
從左側目錄中選取 [服務連接器]。 然後選取建立。
選取或輸入下列設定。
設定 建議的值 描述 服務類型 金鑰保存庫 目標服務類型。 如果您還沒有 Key Vault,請建立一個。 訂用帳戶 您的其中一個訂用帳戶。 部署目標服務的訂用帳戶。 目標服務是您想要與之連線的服務。 預設值為針對 App Service 列出的訂用帳戶。 連線名稱 產生的唯一名稱 識別 App Service 與目標服務之間連線的連線名稱 金鑰保存庫名稱 您的 Key Vault 名稱 您想要與其連線的目標 Key Vault。 用戶端類型 此 App Service 上的相同應用程式堆疊 與所選取目標服務搭配運作的應用程式堆疊。 預設值來自 App Service 執行階段堆疊。 選取 [下一步: 驗證],以選取驗證類型。 然後選取 [系統指派的受控識別],連線您的 Key Vault。
選取 [下一步: 網路],以選取網路設定。 然後選取 [啟用防火牆設定],更新 Key Vault 中的防火牆允許清單,讓您的 App Service 可以連線至 Key Vault。
然後選取 [下一步: 檢閱 + 建立],以檢閱提供的資訊。 選取 [建立],建立服務連線。 完成作業可能需要一分鐘的時間。
在 App Service 中建立 Blob 儲存體連線,將存取金鑰儲存至 Key Vault
現在,您可以使用 連接字串/存取金鑰或服務主體進行驗證時,建立另一個目標服務的服務連線,並將存取密鑰直接儲存至已連線的 金鑰保存庫。 我們會使用 Blob 記憶體作為下列範例。 若是其他目標服務,請遵循相同的程序。
在 Azure 入口網站中,在搜尋功能表中輸入 App Service,然後從清單中選取您想要使用的 App Service 名稱。
從左側目錄中選取 [服務連接器]。 然後選取建立。
選取或輸入下列設定。
設定 建議的值 描述 服務類型 Blob 儲存體 目標服務類型。 如果您沒有儲存體 Blob 容器,則可以建立儲存體 Blob 容器或使用其他服務類型。 訂用帳戶 您的其中一個訂用帳戶 部署目標服務的訂用帳戶。 目標服務是您想要與之連線的服務。 預設值為針對 App Service 列出的訂用帳戶。 連線名稱 產生的唯一名稱 識別 App Service 與目標服務之間連線的連線名稱。 儲存體帳戶 您的儲存體帳戶 您要與之連線的目標儲存體帳戶。 如果您選擇不同的服務類型,請選取對應的目標服務執行個體。 用戶端類型 此 App Service 上的相同應用程式堆疊 與所選取目標服務搭配運作的應用程式堆疊。 預設值來自 App Service 執行階段堆疊。 設定驗證
重要
Microsoft 建議您使用最安全的可用驗證流程。 這個程序描述的驗證流程需要在應用程式中具備極高的信任度,且伴隨著其他流程並未面臨的風險。 請僅在其他較安全的流程 (例如受控身分識別) 皆不具可行性的情況下,才使用這個流程。
選取 [下一步: 驗證],選取驗證類型,然後選取 [連接字串],以使用存取金鑰連線到您的 Blob 儲存體帳戶。
設定 建議的值 描述 將秘密儲存至 Key Vault 勾選 此選項可讓服務連接器將連接字串/存取金鑰儲存至您的 Key Vault。 Key Vault 連線 您的其中一個 Key Vault 連線 選取您要在其中儲存連接字串/存取金鑰的 Key Vault。 選取 [下一步: 網路] 與 [啟用防火牆設定] 以更新 Key Vault 中的防火牆允許清單,讓您的 App Service 可以連線到 Key Vault。
然後選取 [下一步: 檢閱 + 建立],以檢閱提供的資訊。
選取 [建立],建立服務連線。 完成作業最多可能需要一分鐘的時間。
在 Key Vault 中檢視您的設定
展開 [Blob 儲存體連線],選取 [隱藏的值。按一下可顯示值]。 您可以看到該值是 Key Vault 參考。
在 Key Vault 連線的 [服務類型] 欄中,選取 [Key Vault]。 系統會將您重新導向至 金鑰保存庫 入口網站頁面。
在 Key Vault 左側目錄中選取 [秘密],然後選取 Blob 儲存體秘密名稱。
提示
沒有列出秘密的權限? 請參閱針對 Azure Key Vault 進行疑難排解。
從 [目前版本] 清單中選取版本識別碼。
選取 [顯示祕密值],以取得此 Blob 儲存體連線的連接字串。
清除資源
當不再需要資源時,請刪除為此教學課程建立的資源群組及所有相關資源。 若要這樣做,請選取資源群組或您建立的個別資源,然後選取 [刪除]。