Ano, můžete použít spravovanou identitu k přístupu k klíčovému trezoru Azure z aplikace funkce. Takto to funguje:
1. Povolte spravovanou identitu v aplikaci funkce: Přejděte do aplikace Azure Function App, přejděte do části Nastavení, klikněte na identitu a zapněte systém přiřazenou spravovanou identitou. Uložte změny [1] [4].
2. Přiřaďte oprávnění k klíčovému trezoru: Přejděte do trezoru klíče Azure, přejděte na kontrolu přístupu (IAM) a přidejte přiřazení role. Vyberte roli uživatele tajemství klíčových tajemství a přiřaďte ji k spravované identitě vaší funkční aplikace [4] [7].
3. Přístupové klíčové tajemství Vault: Ve vaší funkční aplikaci můžete nyní odkazovat na tajemství z klíčového trezoru pomocí spravované identity. To se obvykle provádí konfigurací tajných odkazů v nastavení konfigurace vaší funkční aplikace [1] [5].
Použití spravované identity poskytuje bezpečný způsob přístupu k klíčovému trezoru, aniž byste museli ukládat přihlašovací údaje do kódu aplikace. Umožňuje funkční aplikaci působit jako persona s oprávněními k přístupu k jiným zdrojům Azure, jako je klíčový trezor [6].
Existují dva typy spravovaných identit: systém přiřazených systémem a přiřazené uživatelem. Identity přiřazená systémem jsou vázána na životní cyklus aplikace funkcí, zatímco uživatelem přiřazené identitě jsou samostatné zdroje, které lze použít ve více aplikacích [3] [7]. Oba typy lze použít k přístupu k klíčovému trezoru, ale identita přiřazená uživatelem vyžaduje další konfiguraci, aby určila, kterou identitu použít [5].
Citace:
[1] https://nanddeepn.github.io/posts/2023-06-25-read-yy-vault-secret-from-function-mi/
[2] https://www.reddit.com/r/azure/comments/1cumd51/how_do_i_get_access_to_key_vault_via_managed/
[3] https://www.red-gate.com/Simple-Talk/Cloud/azure/azure-function-and-user-Assigned-amaged-identities/
[4] https://www.appgovscore.com/blog/connect-to-microsoft-graph-api-securely-function-ap-azure-key-vault
[5] https://stackoverflow.com/questions/76439670/azure-function-app-setting-from-Key-vault-vault-vault-vault-vault--With-System-Assigned-identiti
[6] https://docs.azure.cn/en-us/azure-functions/functions-identity-Connections-tutorial
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-identity
[8] https://stackoverflow.com/questions/79293711/azure-function-app-usis-vault-with-reaged --not-authorised