Oui, vous pouvez utiliser l'identité gérée pour accéder à Azure Key Vault à partir d'une application de fonction. Voici comment cela fonctionne:
1. Activer l'identité gérée sur l'application de fonction: accédez à votre application Azure Fonction, accédez à la section Paramètres, cliquez sur l'identité et activez l'identité gérée assignée par le système. Enregistrez les modifications [1] [4].
2. Attribuez des autorisations à Key Vault: Accédez à votre Vault Key Azure, accédez à Access Control (IAM) et ajoutez une affectation de rôle. Sélectionnez le rôle d'utilisateur des secrets de Vault Key Vault et affectez-le à l'identité gérée de votre application de fonction [4] [7].
3. Accédez à Key Vault Secrets: Dans votre application de fonction, vous pouvez désormais référencer les secrets de Key Vault en utilisant l'identité gérée. Cela se fait généralement en configurant les références secrètes dans les paramètres de configuration de votre application de fonction [1] [5].
L'utilisation d'identité gérée fournit un moyen sécurisé d'accéder au coffre-fort clé sans avoir besoin de stocker des informations d'identification dans votre code d'application. Il permet à l'application de fonction d'agir comme un personnage avec des autorisations pour accéder à d'autres ressources Azure, telles que Key Vault [6].
Il existe deux types d'identités gérées: attribué par le système et attribué par l'utilisateur. Les identités attribuées par le système sont liées au cycle de vie de l'application Fonction, tandis que les identités attribuées par l'utilisateur sont des ressources autonomes qui peuvent être utilisées sur plusieurs applications [3] [7]. Les deux types peuvent être utilisés pour accéder à Key Vault, mais les identités attribuées par l'utilisateur nécessitent une configuration supplémentaire pour spécifier l'identité à utiliser [5].
Citations:
[1] https://nanddeepn.github.io/posts/2023-06-25-read-key-vault-secret-from-function-mit--mi/
[2] https://www.reddit.com/r/azure/comments/1cumd51/how_do_i_get_access_to_key_vault_via_managed/
[3] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-manged-identities/
[4] https://www.appgovscore.com/blog/connect-to-microsoft-graph-api-securely-function-app-azure-key-vault
[5] https://stackoverflow.com/questions/76439670/azure-function-app-setting-from-key-vault-accessible-with-system-assigned-identid
[6] https://docs.azure.cn/en-us/azure-functions/functions-identity-basation-connections-tutorial
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-identity
[8] https://stackoverflow.com/questions/79293711/azure-function-app-using-key-vault-with-manged-identity-not-authorisé