在Azure云服务配置中保护敏感信息

我们也考虑过使用钥匙保险库,但最终还是一样

问题陈述

这意味着您的应用程序的客户机密钥将位于云服务配置中,这几乎等同于首先位于云服务配置中的所有敏感信息:)。

解决方法

托管服务标识是访问Azure密钥库并避免在云服务配置中保留客户端密钥的方法。

如果经典云服务没有托管服务标识,您可以使用 Certificate Credentials for application authentication 帮助建立应用程序身份并访问密钥库以读取密钥、机密等。

详细信息和样本代码

2. 在密钥库的访问策略中授予对此Azure AD应用程序的适当访问权限(能够获取密钥/机密等)。
3. 现在,不再生成常规的客户机机密,而是按照中的步骤进行操作 Certificate credentials for application authentication ,将证书凭据与Azure AD中的客户端应用程序相关联。
4. 通过将此证书包含在服务定义文件(CSDEF)中,确保将其与所有云服务实例一起部署
5. 使用应用程序的客户端ID和此证书获取令牌并开始从Azure密钥库读取敏感信息。

示例代码如下: Authenticating to Azure AD in daemon apps with certificates

// Initialize the Certificate Credential to be used by ADAL.
X509Certificate2 cert = ReadCertificateFromStore(certName);

// Then create the certificate credential client assertion.
certCred = new ClientAssertionCertificate(clientId, cert);

// Acquire Auth token for talking to Azure KeyVault..
result = await authContext.AcquireTokenAsync(todoListResourceId, certCred);