Так, ви можете використовувати керовану ідентичність для доступу до Azure Key Vault з функціонального додатка. Ось як це працює:
1. Увімкнути керовану ідентичність у додатку функції: Перейдіть до програми Azure Function, перейдіть до розділу Налаштування, натисніть на ідентичність та увімкніть керовану систему. Збережіть зміни [1] [4].
2. Призначте дозволи ключовим склепінням: перейдіть до склепіння ключа Azure, перейдіть до контролю доступу (IAM) та додайте завдання ролі. Виберіть ключову роль користувача Vault Secrets та призначте її керованою ідентичністю вашої функції [4] [7].
3. Доступ до ключових таємниць Vault: У вашому додатку функції ви можете довідати таємниці з ключового сховища за допомогою керованої ідентичності. Зазвичай це робиться шляхом налаштування секретних посилань у налаштуваннях конфігурації вашого функціонального додатка [1] [5].
Використання керованої ідентичності забезпечує безпечний спосіб доступу до ключового сховища, не потребуючи зберігання облікових даних у коді програми. Це дозволяє програмі функції діяти як персона з дозволами для доступу до інших ресурсів Azure, таких як ключовий сховище [6].
Існує два типи керованих ідентичностей: призначений для системи та призначений користувачем. Система, призначені до системи, пов'язані з життєвим циклом програми функції, тоді як особистісні особистісні ідентичності-це окремі ресурси, які можуть використовуватися в декількох додатках [3] [7]. Обидва типи можуть бути використані для доступу до ключового сховища, але призначені користувачем ідентичності потребують додаткової конфігурації, щоб вказати, яку ідентичність використовувати [5].
Цитати:
[1] https://nanddeepn.github.io/posts/2023-06-25-read-key-vault-secret-from-function-mi/
[2] https://www.reddit.com/r/azure/comments/1cumd51/how_do_i_get_access_to_key_vault_via_managed/
[3] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-and-user-assigned-managed-identities/
[4] https://www.appgovscore.com/blog/connect-to-microsoft-graph-api-securefunction-app-azure-key-vault
[5] https://stackoverflow.com/questions/76439670/azure-function-app-setting-from-key-vault-accesible-with-system-assigned-identi
[6] https://docs.azure.cn/en-us/azure-functions/functions-indity, що базується
[7] https://learn.microsoft.com/en-us/azure/frontdoor/managed-identity
[8] https://stackoverflow.com/questions/79293711/azure-function-app-using-key-vault-with-managed-identity-not-authoried