Sì, è possibile utilizzare l'identità gestita per accedere a Azure Key Vault da un'app di funzione. Ecco come funziona:
1. Abilita l'identità gestita sull'app Funzione: Passare all'app Funzione Azure, andare alla sezione Impostazioni, fare clic sull'identità e attivare il sistema assegnato Identità gestita. Salva le modifiche [1] [4].
2. Assegna le autorizzazioni al Vault Key: vai al Vault chiave Azure, vai a Access Control (IAM) e aggiungi un assegnazione di ruolo. Seleziona il ruolo dell'utente dei segreti di Vault Key e assegnalo all'identità gestita dell'app funzione [4] [7].
3. Accesso Chiave Vault Segreti: nell'app Funzione, ora è possibile fare riferimento ai segreti da Key Vault utilizzando l'identità gestita. Questo viene in genere eseguito configurando i riferimenti segreti nelle impostazioni di configurazione dell'app funzione [1] [5].
L'utilizzo dell'identità gestita fornisce un modo sicuro per accedere al Vault chiave senza dover archiviare le credenziali nel codice dell'applicazione. Consente all'app Function di fungere da persona con autorizzazioni per accedere ad altre risorse di Azure, come il caveau chiave [6].
Esistono due tipi di identità gestite: assegnati al sistema e assegnati dall'utente. Le identità assegnate al sistema sono legate al ciclo di vita dell'app funzione, mentre le identità assegnate dall'utente sono risorse autonome che possono essere utilizzate su più applicazioni [3] [7]. Entrambi i tipi possono essere utilizzati per accedere al Vault chiave, ma le identità assegnate dall'utente richiedono una configurazione aggiuntiva per specificare quale identità utilizzare [5].
Citazioni:
[1] https://nanddeepn.github.io/posts/2023-06-25-read-key-vault-secret-from-function-mi/
[2] https://www.reddit.com/r/azure/comments/1cumd51/how_do_i_get_geaccess_to_key_vault_via_managed/
[3] https://www.red-bate.com/simple-lalk/cloud/azure/azure-function-and-user-assiged-managed-identities/
[4] https://www.appgovscore.com/blog/connect-to-microsoft-graph-api --seculyfunction-app-azure-key-vault
[5] https://stackoverflow.com/questions/76439670/azure-function-app-setting-from-key-vault-accessible-with-system-assigned-Identi
[6] https://docs.azure.cn/en-us/azure-functions/functions-identy-fonnection--connections-tutorial
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-identità
[8] https://stackoverflow.com/questions/79293711/azure-function-app-using-key-vault-with-manage-identity-not-authorized