Ναι, μπορείτε να χρησιμοποιήσετε τη διαχειριζόμενη ταυτότητα για να αποκτήσετε πρόσβαση στο Azure Key Vault από μια εφαρμογή λειτουργίας. Δείτε πώς λειτουργεί:
1. Ενεργοποίηση της διαχειριζόμενης ταυτότητας στην εφαρμογή Λειτουργίας: Μεταβείτε στην εφαρμογή Azure Λειτουργία, μεταβείτε στην ενότητα Ρυθμίσεις, κάντε κλικ στην ταυτότητα και ενεργοποιήστε το σύστημα που έχει εκχωρηθεί διαχειριζόμενη ταυτότητα. Αποθηκεύστε τις αλλαγές [1] [4].
2. Αντιστοίχιση δικαιωμάτων στο Key Vault: Μεταβείτε στο Azure Key Vault, μεταβείτε στον έλεγχο πρόσβασης (IAM) και προσθέστε μια ανάθεση ρόλου. Επιλέξτε το ρόλο του χρήστη κλειδιού Vault Secrets και αναθέστε το στη διαχειριζόμενη ταυτότητα της εφαρμογής λειτουργίας σας [4] [7].
3. Πρόσβαση μυστικών βασικών θησαυρών: Στην εφαρμογή λειτουργίας σας, μπορείτε τώρα να αναφέρετε μυστικά από το βασικό θόλο χρησιμοποιώντας τη διαχειριζόμενη ταυτότητα. Αυτό γίνεται συνήθως με τη διαμόρφωση των μυστικών αναφορών στις ρυθμίσεις διαμόρφωσης της εφαρμογής λειτουργίας σας [1] [5].
Η χρήση της διαχειριζόμενης ταυτότητας παρέχει έναν ασφαλή τρόπο πρόσβασης στο βασικό θησαυροφυλάκιο χωρίς να χρειάζεται να αποθηκεύετε διαπιστευτήρια στον κωδικό εφαρμογής σας. Επιτρέπει στην εφαρμογή λειτουργίας να ενεργεί ως πρόσωπο με δικαιώματα για πρόσβαση σε άλλους πόρους Azure, όπως το Key Vault [6].
Υπάρχουν δύο τύποι διαχειριζόμενων ταυτοτήτων: αξιόπιστα συστήματα και ταξινόμηση του χρήστη. Οι ταυτότητες που έχουν επιτευχθεί από το σύστημα συνδέονται με τον κύκλο ζωής της εφαρμογής λειτουργίας, ενώ οι ταυτότητες που έχουν μεταβληθεί από το χρήστη είναι αυτόνομοι πόροι που μπορούν να χρησιμοποιηθούν σε πολλαπλές εφαρμογές [3] [7]. Και οι δύο τύποι μπορούν να χρησιμοποιηθούν για την πρόσβαση σε βασικό θησαυροφυλάκιο, αλλά οι ταυτότητες που έχουν επιτευχθεί από το χρήστη απαιτούν πρόσθετη διαμόρφωση για να καθορίσουν ποια ταυτότητα θα χρησιμοποιηθούν [5].
Αναφορές:
[1] https://nanddeepn.github.io/posts/2023-06-25-read-key-vault-secret-from-function-mi/
[2] https://www.reddit.com/r/azure/comments/1cumd51/how_do_i_get_access_to_key_vault_via_managed/
[3] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-formed-identities/
[4] https://www.appgovscore.com/blog/connect-to-microsoft-graph-api-securely-function-app-azure-key-vault
[5] https://stackoverflow.com/questions/76439670/azure-function-app-setting-from-ke-vault-προσβάσιμο-with-system-assigned-ident
[6] https://docs.azure.cn/en-us/azure-functions/functions-identity-connections-tutorial
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-identity
[8] https://stackoverflow.com/questions/79293711/azure-function-app-using-key-vault-with-managed-identity-not