从本地计算机上的 Azure Keyvault 读取值

Question

我不确定如何通过本地计算机对 Azure 密钥库进行身份验证。 虽然我知道我可能永远不想在生产场景中这样做，但我确实想在生产之前测试它的使用。

这可能吗？

虽然我确实看到了 several options，但我未能使用 DefaultAzureCredential 以及我后来尝试的 CertificateCredential、ClientSecretCredential，每个都有自己的错误，我不完全理解。

默认的告诉我： azure.core.exceptions.HttpResponseError：（禁止）用户、组或应用程序 'appid=a79ae17f-90f7-4341-a2f7-b4ae4abad7d2;oid=cb8a8745-1567-4cd7-b8a0-5cecd6afe6c6;iss=https://sts. windows.net/98d1d263-cc4b-4d75-96a6-daf642242d3b/'没有秘密获得密钥库'AnotherKV2;location=eastus'的权限

azure.core.exceptions.HttpResponseError：（禁止）用户、组或应用程序 'appid={MYAPPID};oid={SomeOID};iss=https://sts.windows.net/98d1d263- cc4b-4d75-96a6-daf642242d3b/' 没有获得密钥保管库“{MyKVName};location=eastus”的权限。如需解决此问题的帮助，请参阅https://go.microsoft.com/fwlink/?linkid=2125287

这很奇怪有两个原因：

1. 首先，虽然我确实在我的订阅中定义了一个带有 {MYAPPID} 的 SP，但我不记得曾经在我的本地机器上使用过它，所以我的本地应用程序如何具有与（我假设是自动生成的）相同的 APPID我使用以下命令创建服务主体时得到的那个： az ad sp create-for-rbac --name "MyApp"

2. 其次，查看我的 keyvault 的访问策略，似乎 {MYAPPID} 被授权做所有事情

我错过了什么吗？是否应该以其他方式完成？ （或者根本没有？）

Answer 1

当您在本地运行代码时，DefaultAzureCredential 会自动使用名为 AZURE_TENANT_ID、AZURE_CLIENT_ID 和 AZURE_CLIENT_SECRET 的环境变量所描述的服务主体。

所以要使用它，请先在本地高级设置中Set environmental variables，使用az ad sp create-for-rbac创建的AD App的值即可。

要访问 keyvault secret，您需要将与 AD App 相关的服务主体添加到您的 keyvault 的 Access policies 并具有正确的 secret 权限 Get, List。

注意：请确保服务主体与您的 keyvault 在同一个 Azure AD 租户中，添加时请直接搜索APP ID/Client ID，因为两个不同的应用程序可以有相同的名字。

然后使用下面的代码，它对我有用。

from azure.keyvault.secrets import SecretClient
from azure.identity import DefaultAzureCredential

credential = DefaultAzureCredential()

client = SecretClient(vault_url="https://keyvaultname.vault.azure.net/", credential=credential)

retrieved_secret = client.get_secret("sec789")
print(retrieved_secret.value)

更多详情请见https://docs.microsoft.com/en-us/azure/key-vault/secrets/quick-create-python