Sí, puede usar la identidad administrada para acceder a Azure Key Vault desde una aplicación de funciones. Así es como funciona:
1. Habilite la identidad administrada en la aplicación de funciones: Navegue a su aplicación de función Azure, vaya a la sección Configuración, haga clic en Identidad y active la identidad administrada del sistema asignado. Guarde los cambios [1] [4].
2. Asigne permisos a la bóveda clave: vaya a su bóveda clave de Azure, navegue al control de acceso (IAM) y agregue una asignación de roles. Seleccione el rol de usuario de los secretos de bóveda clave y asignarlo a la identidad administrada de su aplicación de función [4] [7].
3. Acceso a los secretos de bóveda clave: en su aplicación de funciones, ahora puede hacer referencia a secretos de la bóveda clave utilizando la identidad administrada. Esto generalmente se realiza configurando las referencias secretas en la configuración de la aplicación de su función de función [1] [5].
El uso de la identidad administrada proporciona una forma segura de acceder a la bóveda clave sin necesidad de almacenar credenciales en su código de aplicación. Permite que la aplicación de funciones actúe como una persona con permisos para acceder a otros recursos de azul, como la bóveda clave [6].
Hay dos tipos de identidades administradas: asignadas por el sistema y asignadas por el usuario. Las identidades asignadas al sistema están vinculadas al ciclo de vida de la aplicación de funciones, mientras que las identidades asignadas por el usuario son recursos independientes que pueden usarse en múltiples aplicaciones [3] [7]. Ambos tipos se pueden usar para acceder a la bóveda clave, pero las identidades asignadas por el usuario requieren una configuración adicional para especificar qué identidad usar [5].
Citas:
[1] https://nanddeepn.github.io/posts/2023-06-25-read-key-vault-secret-from-function-mi/
[2] https://www.reddit.com/r/azure/comments/1cumd51/how_do_i_get_access_to_key_vault_via_managed/
[3] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-didenties/
[4] https://www.appgovscore.com/blog/connect-to-microsoft-graph-api-securely-function-app-azure-key-vault
[5] https://stackoverflow.com/questions/76439670/azure-function-app-setting-from-key-vault-accessible-with-system-signed-identi
[6] https://docs.azure.cn/en-us/azure-functions/functions-ididentity basado en-connections-tutorial
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-identity
[8] https://stackoverflow.com/questions/79293711/azure-function-app-using-key-vault-with-managed-ididentity-not-authorized