我想知道是否可以从从 azure vault 读取的连接字符串中初始化队列触发器甚至 blob 触发器。
现在,我们必须通过刀片属性通过环境设置来设置这些数据连接。但是,我只想使用服务主体来检索 azure key vault 的令牌以获取所有这些连接字符串。
我正在尝试如何在 java 中实现这一点。
谢谢, 德里克
【问题讨论】:
标签: azure azure-functions azure-keyvault
此功能已在此处跟踪并正在进行中:
编辑 28/11/2018:目前处于预览阶段
以前的答案 07/10/2018 此解决方案不适用于使用消费计划的触发器。
与此同时,我对您的问题进行了一些研究,如果您使用 Azure Function v2,则可以从密钥保管库中读取配置。
我从 Visual Studio 创建了 Azure Functions v2 (.NET Standard)。
它使用:
由于 Azure Functions v2 使用 ASP.NET 核心,我可以参考此链接来配置我的函数应用以使用 Azure Key Vault:
Azure Key Vault configuration provider in ASP.NET Core
我已将我的应用配置为使用此 nuget 包:
using Microsoft.Azure.WebJobs;
using Microsoft.Azure.WebJobs.Hosting;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.DependencyInjection;
using System.Linq;
[assembly: WebJobsStartup(typeof(FunctionApp1.WebJobsExtensionStartup), "A Web Jobs Extension Sample")]
namespace FunctionApp1
{
public class WebJobsExtensionStartup : IWebJobsStartup
{
public void Configure(IWebJobsBuilder builder)
{
// Get the existing configuration
var serviceProvider = builder.Services.BuildServiceProvider();
var existingConfig = serviceProvider.GetRequiredService<IConfiguration>();
// Create a new config based on the existing one and add kv
var configuration = new ConfigurationBuilder()
.AddConfiguration(existingConfig)
.AddAzureKeyVault($"https://{existingConfig["keyVaultName"]}.vault.azure.net/")
.Build();
// replace the existing configuration
builder.Services
.Replace(ServiceDescriptor.Singleton(typeof(IConfiguration), configuration));
}
}
}
我的 Azure 函数使用 MSI:
我已向我的密钥保管库上的函数应用授予读取/列出机密权限:
我有一个小队列触发函数:
public static class Function2
{
[FunctionName("Function2")]
public static void Run([QueueTrigger("%queueName%", Connection = "queueConnectionString")]string myQueueItem, ILogger log)
{
log.LogInformation($"C# Queue trigger function processed: {myQueueItem}");
}
}
queueName 在local.settings.json 文件中定义(部署后的应用设置刀片):
{
"IsEncrypted": false,
"Values": {
"AzureWebJobsStorage": "UseDevelopmentStorage=true",
"FUNCTIONS_WORKER_RUNTIME": "dotnet",
"keyVaultName": "thomastestkv",
"queueName": "myqueue"
}
}
queueConnectionString 在我的密钥库中配置:
【讨论】:
更新
现在是正式版
这是几天前刚刚发布的预览版。
此功能需要系统为您的应用分配托管标识。在这篇文章的后面,我将讨论用户分配的身份,但我们暂时将这些预览分开。
然后,您需要在 Key Vault 上配置访问策略,为您的应用程序授予对机密的 GET 权限。了解如何配置访问策略。
最后,将任何应用程序设置的值设置为以下格式的引用:
@Microsoft.KeyVault(SecretUri=secret_uri_with_version)
其中 secret_uri_with_version 是 Key Vault 中机密的完整 URI。例如,这将类似于:https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931
【讨论】:
我只是在下面两个参考文献中用 Java 实现了它。
https://docs.microsoft.com/en-us/azure/app-service/app-service-key-vault-references
https://medium.com/statuscode/getting-key-vault-secrets-in-azure-functions-37620fd20a0b
在 java 中使用 System.getenv("SECRET_KEY") 从您的应用设置中读取值。
如果您需要进一步的帮助,我们很乐意提供帮助。
【讨论】:
从 Key Vault 获取应用程序设置 Key Vault 引用功能使您的应用程序可以像使用应用程序设置一样工作,这意味着不需要更改代码。您可以从我们的 Key Vault 参考文档中获取所有详细信息,但我将在此处概述基础知识。
此功能需要系统为您的应用分配托管标识。在这篇文章的后面,我将讨论用户分配的身份,但我们暂时将这些预览分开。
然后,您需要在 Key Vault 上配置访问策略,为您的应用程序授予对机密的 GET 权限。了解如何配置访问策略。
最后,将任何应用程序设置的值设置为以下格式的引用:
@Microsoft.KeyVault(SecretUri=secret_uri_with_version)
其中 secret_uri_with_version 是 Key Vault 中机密的完整 URI。例如,这将类似于:https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931
就是这样!无需更改您的代码!
对于这个初始预览,您需要明确设置一个秘密版本,因为我们还没有内置的轮换处理。这是我们期待尽快提供的东西。
用户分配的托管身份(公共预览版) 我们对托管身份的现有支持称为系统分配。这个想法是,身份是由平台为特定应用程序创建的,并且与应用程序的生命周期相关联。如果您删除应用程序,则会立即从 Azure Active Directory 中删除该标识。
今天我们正在预览用户分配的身份,这些身份被创建为自己的 Azure 资源,然后分配给给定的应用程序。一个用户分配的身份也可以分配给多个应用程序,一个应用程序可以有多个用户分配的身份。
【讨论】:
我已经在上面给出了答案,这个答案是针对@Matt Sanders 的评论, 我只是想解释一下 MSI 如何在 Azure 环境中工作,
"我有 2 个用户分配的身份,1 个拥有 KeyVault 的权限,另一个没有。您如何指定正确的用户分配的身份用于检索机密?我猜这是不可能的和用户分配的身份不受支持,即使它们已列在您的答案中。– Matt Sanders"
当您想使用 Azure Manage Identity Service 时,您的应用程序必须在 Azure AD 中注册,例如,假设有多个用户访问您的 Web 应用程序,并且在您的 Web 应用程序中,您正试图访问 vVault 的机密,在这种情况下,Vault 不关心使用您的应用程序的用户,它关心的是应用程序,
请参考下图,
我如图所示,只有 Azure Function 作为身份添加到库中,其他应用程序没有,
所以任何使用 Azure 功能的人都可以访问 Vault 的机密,根据此示例只有 A 和 B 可以访问机密,
【讨论】: