在 C# .Net 中使用 MSI 访问 Azure Key Vault

【问题标题】:Using MSI to access Azure Key Vault in C# .Net在 C# .Net 中使用 MSI 访问 Azure Key Vault
【发布时间】:2020-05-23 04:25:15
【问题描述】:

由于我是 Azure 新手,这个问题可能很愚蠢。我正在尝试构建一个服务来配置和管理一个虚拟机集群。出于安全考虑,我不想在每个集群上放置一些敏感数据。所以我决定为每个集群配置一个 Azure Key Vault 来存储这些数据,并创建一个 MSI(托管标识)并分派到集群的每个节点,以便 vm 可以访问密钥库以获取机密。

在服务端,我需要配置 vm、密钥保管库和 MSI。将 MSI 分配给每个 VM,同时将正确的角色授予 MSI 以访问 AKV。这是我的问题:

  1. 系统 MSI 与用户 MSI,因为集群将有多个节点,为了减少配置整个集群的延迟,用户 msi 可能是一个更好的主意,因为我们可以配置一个 MSI 并授予一次访问权限。对于系统分配的 MSI,我们需要为每个身份授予访问权限。但缺点是,我们必须在删除整个集群时删除 MSI。您对此有何看法?
  2. 愚蠢的问题,如何预配 MSI、Azure 密钥保管库并授予访问权限。你能给我看一些代码示例吗?我试图在网上找到公共 API 文档和教程,但失败了。

【问题讨论】:

    标签: azure azure-active-directory azure-keyvault azure-managed-identity azure-rbac


    【解决方案1】:

    1.系统分配的托管标识和用户分配的托管标识有什么区别?

    根据我的研究,系统分配的托管标识直接在 Azure 服务实例上启用。系统分配标识的生命周期直接与启用它的 Azure 服务实例相关联。如果实例被删除,Azure 会自动清理 Azure AD 中的凭据和标识。

    但是,用户分配的托管标识创建为独立的 Azure 资源。创建标识后,可以将标识分配给一个或多个 Azure 服务实例。用户分配标识的生命周期与其分配到的 Azure 服务实例的生命周期分开管理。

    更多详情请参考document

    2.如何预配 MSI、Azure Key Vault 并授予访问权限

    提供用户分配的托管标识

    根据我的研究,如果我们想提供用户分配的托管标识,我们可以使用Azure REST APIAzure PowershellAzure CLI

    例如

    Azure CLI

    az login
az identity create -g <RESOURCE GROUP> -n <USER ASSIGNED IDENTITY NAME>

    Azure REST API 一种。使用 Azure CLI 获取访问令牌

    az login
az account get-access-token

    b.调用其余的api

    curl 'https://management.azure.com/subscriptions/<SUBSCRIPTION ID>/resourceGroup
s/<RESOURCE GROUP>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<USER ASSIGNED IDENTITY NAME>?api-version=2015-08-31-preview' -X PUT -d '{"loc
ation": "<LOCATION>"}' -H "Content-Type: application/json" -H "Authorization: Bearer <ACCESS TOKEN>"

    预配 Azure Key Vault 并授予访问权限

    根据我的研究,如果我们想实现它,如果我们想提供用户分配的托管标识,我们可以使用Azure REST APIAzure PowershellAzure CLI 和 sdk(例如 .网)。更多详情请参考document

    例如

    Azure 休息 API

    一个。使用 Azure CLI 获取访问令牌

    az login
az account get-access-token

    b.调用其余的api

    PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.KeyVault/vaults/{vaultName}?api-version=2018-02-14
Header :
   Content-Type: application/json
   Authorization: Bearer <ACCESS TOKEN>
Body

  {
  "location": "westus",
  "properties": {
    "tenantId": "<your tenant id>",
    "sku": {
      "family": "A",
      "name": "standard"
    },
    "accessPolicies": [
      {
        "tenantId": "<your tenant id>",
        "objectId": "<the object id of the MSI>",
        "permissions": {
          "keys": [
            "encrypt",
            "decrypt",
            "wrapKey",
            "unwrapKey",
            "sign",
            "verify",
            "get",
            "list",
            "create",
            "update",
            "import",
            "delete",
            "backup",
            "restore",
            "recover",
            "purge"
          ],
          "secrets": [
            "get",
            "list",
            "set",
            "delete",
            "backup",
            "restore",
            "recover",
            "purge"
          ],
          "certificates": [
            "get",
            "list",
            "delete",
            "create",
            "import",
            "update",
            "managecontacts",
            "getissuers",
            "listissuers",
            "setissuers",
            "deleteissuers",
            "manageissuers",
            "recover",
            "purge"
          ]
        }
      }
    ],
    "enabledForDeployment": true,
    "enabledForDiskEncryption": true,
    "enabledForTemplateDeployment": true
  }
}

    .Net SDK

    一个。 create a service principal with Azure CLI

    az login
az ad sp create-for-rbac -n "MyApp" --role contributor --sdk-auth

    b.代码。更多详情请参考sample

    // please install package  Microsoft.Azure.Management.Fluent
var credentials = SdkContext.AzureCredentialsFactory
    .FromServicePrincipal(<the sp app id>,
    <the sp password>,
    tenantId, 
    AzureEnvironment.AzureGlobalCloud);
var azure = Microsoft.Azure.Management.Fluent.Azure
    .Configure()
    .Authenticate(credentials)
    .WithSubscription ("<your subscription id>");
var vault =await azure.Vaults.Define("")
                       .WithRegion(Region.AsiaSouthEast)
                       .WithExistingResourceGroup("groupname")
                       .DefineAccessPolicy()
                              .ForObjectId("the object id of msi")
                              .AllowCertificateAllPermissions()
                              .AllowKeyAllPermissions()
                              .AllowSecretAllPermissions()
                              .Attach()
                       .WithDeploymentEnabled()
                       .WithDiskEncryptionEnabled()
                       .WithTemplateDeploymentEnabled()
                       .WithSku(Microsoft.Azure.Management.KeyVault.Fluent.Models.SkuName.Standard)
                       .CreateAsync()

    【讨论】:

      猜你喜欢
      • 2019-06-09
      • 2018-02-28
      • 2018-05-22
      • 2020-02-11
      • 1970-01-01
      • 2018-09-26
      • 1970-01-01
      • 2020-08-27
      • 2020-08-08
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode