Блог

Насколько я понимаю, пока я настраиваю гранты для KeyVault, моя функция должна иметь возможность считывать из него данные с помощью

@Microsoft.KeyVault(SecretUri=MYSECRETFULLURL) и я предполагаю, что это будет преобразовано во время выполнения?

Есть идеи, как я мог бы это отладить?

В настоящее время, когда я добираюсь до моей функции, это то, что указано выше, без каких-либо изменений.

Выполняется как управляемое системой.

Если я выполняю отладку, это все, что я получаю:

Однако я могу видеть, что мой аудит в Azure key vault был заблокирован.

  public static async Task<IActionResult> Run(
            [HttpTrigger(AuthorizationLevel.Function, "post", Route = null)] HttpRequest req,
            ILogger log)
        {
            var accountToMoveFrom = System.Environment.GetEnvironmentVariable("accountToMonitor");
            log.LogCritical(accountToMoveFrom);
            var accessToken = System.Environment.GetEnvironmentVariable("accessToken");

}
  

Добавление окончательного разрешения:

Убедитесь, что у вас не настроены параметры «авторизованного приложения» или applicationId.

Из документации

Создайте политику доступа в хранилище ключей для удостоверения приложения, которое вы создали ранее. Включите секретное разрешение «Получить» в этой политике. Не настраивайте параметры «авторизованного приложения» или applicationId, поскольку это несовместимо с управляемым удостоверением.

Примечание: Действительно ли ваш код работает? Запись значения ключа в журнал перехватывается и отображается как

 @Microsoft.KeyVault(SecretUri=MYSECRETFULLURL) 
  

в журналах, чтобы избежать попадания конфиденциальной конфигурации от KeyVault в
файлы журналов, которые могут быть доступны более широкой аудитории.

Он отлично работает в соответствии с документами (выдержка ниже), также дважды проверьте, что у вас есть:

• Идентификатор управляемой службы (MSI), настроенный в функциональном приложении
• Перезапустите приложение function после добавления настроек приложения function
• MSI функции предоставляется доступ к соответствующему KeyVault, но не к плоскости управления, а к политикам доступа.

• Если вы запускаете / отлаживаете локально в Visual Studio, вам необходимо предоставить учетной записи, вошедшей в Visual Studio, права на хранилище ключей, поскольку это представленное удостоверение.

Получение настроек приложения из хранилища ключей Функция ссылок на хранилища ключей позволяет вашему приложению работать так, как если бы оно использовало настройки приложения в прежнем виде, то есть никаких изменений кода не требуется. Вы можете получить все подробности из нашей справочной документации по хранилищу ключей, но здесь я изложу основы.

Для этой функции требуется назначенное системой управляемое удостоверение для вашего приложения. Позже в этом посте я расскажу о пользовательских удостоверениях, но пока мы сохраняем эти предварительные просмотры отдельно.

Затем вам нужно будет настроить политику доступа к вашему хранилищу ключей, которая дает вашему приложению разрешение на получение секретных данных. Узнайте, как настроить политику доступа.

Наконец, установите значение любого параметра приложения равным ссылке следующего формата:

@Microsoft.KeyVault (секрет=secret_uri_with_version)

Где secret_uri_with_version — это полный URI для секрета в Хранилище ключей. Например, это могло бы быть что-то вроде: https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931