Да, вы можете использовать Managed Identity для доступа к Vault Azure Key из приложения функции. Вот как это работает:
1. Включите управляемую идентификацию в приложении функции: перейдите к приложению Function Azure, перейдите в раздел «Настройки», нажмите на личность и включите систему, назначенную управляемой идентификацией. Сохраните изменения [1] [4].
2. Назначьте разрешения на ключевое хранилище: перейдите в свое хранилище ключа Azure, перейдите к контролю доступа (IAM) и добавьте ролевое назначение. Выберите роль пользователя в секретах ключей и назначьте ее управляемой идентификации приложения вашего функционального приложения [4] [7].
3. Секреты Vault Vault Access: в приложении вашего функционального приложения теперь вы можете ссылаться на секреты из Key Vault, используя управляемую личность. Обычно это делается путем настройки секретных ссылок в настройках конфигурации вашего приложения функции [1] [5].
Использование Managed Identity обеспечивает безопасный способ доступа к ключевым хранилищам без необходимости хранения учетных данных в коде вашего приложения. Это позволяет функциональному приложению выступать в качестве личности с разрешениями на доступ к другим ресурсам Azure, таким как Key Vault [6].
Существует два типа управляемых идентификаторов: системные и подписанные пользователем. Пользовательские идентичности привязаны к жизненному циклу функционального приложения, в то время как пользовательские идентичности являются автономными ресурсами, которые можно использовать в нескольких приложениях [3] [7]. Оба типа могут использоваться для доступа к Key Vault, но идентификаторы, назначенные пользователем, требуют дополнительной конфигурации, чтобы указать, какую идентичность использовать [5].
Цитаты:
[1] https://nanddeepn.github.io/posts/2023-06-25-read-key-wault-secret-from-function-mi/
[2] https://www.reddit.com/r/azure/comments/1cumd51/how_do_i_get_access_to_key_vault_via_managed/
[3] https://www.red-gate.com/simple-talk/cloud/azure/azure-funct-and-user-assigned-managed-idedities/
[4] https://www.appgovscore.com/blog/connect-to-microsoft-graph-api-cecurely-function-app-azure-key-vault
[5] https://stackoverflow.com/questions/76439670/azure-function-app-setting-from-key-vault-compaintable-with-system-signed-idei
[6] https://docs.azure.cn/en-us/azure-functs/functions-identity-connections-tutorial
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-ideity
[8] https://stackoverflow.com/questions/79293711/azure-function-app-using-key-wault-with- Managed-Edentity-нет