在 Azure 密钥保管库中存储密钥和机密

Question

我们希望将我们的 AWS 密钥和机密存储在 azure key vault 上，因为我们的 VM 位于 Azure 云上。

我们只想将 AWS 机密和密钥保存在 Azure 密钥库中，而不是将它们设置在环境变量中。

然后，我们希望通过代码中的 API 访问它们。

我对 azure key vault 非常陌生，想知道它是否可行？一个简单的示例/参考会很有帮助。

Answer 1

有可能，只需将它们存储在 azure keyvault 中并通过 VM MSI（VM 系统分配的托管标识）访问它们。

参考 - Use a Windows VM system-assigned managed identity to access Azure Key Vault

完成先决条件并授予 MSI 访问权限，在 VM 中，您可以获取令牌并使用令牌获取密钥。

看下面的powershell示例，你也可以使用其他语言，逻辑是一样的，看你的需求。

$response = Invoke-WebRequest -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fvault.azure.net' -Method GET -Headers @{Metadata="true"}     
$content = $response.Content | ConvertFrom-Json     
$KeyVaultToken = $content.access_token     
(Invoke-WebRequest -Uri https://<your-key-vault-URL>/secrets/<secret-name>?api-version=2016-10-01 -Method GET -Headers @{Authorization="Bearer $KeyVaultToken"}).content 

回复：

{"value":"p@ssw0rd!","id":"https://mytestkeyvault.vault.azure.net/secrets/MyTestSecret/7c2204c6093c4d859bc5b9eff8f29050","attributes":{"enabled":true,"created":1505088747,"updated":1505088747,"recoveryLevel":"Purgeable"}} 

更新：

您需要将您的 VM MSI 添加到 keyvault 的 Access Policies。

Answer 2

Azure KeyVault 具有客户端库，可用于从应用程序与 KeyVault 进行交互。

例如，这些是与 .NET、Java、Python 和 TypeScript 中的 KeyVault 机密交互的客户端库

以下是使用 .NET 从 KeyVault 检索机密的方法：

// Environment variable with the Key Vault endpoint.
string keyVaultUrl = Environment.GetEnvironmentVariable("AZURE_KEYVAULT_URL");

// create the client to interact with the service
var client = new SecretClient(new Uri(keyVaultUrl), new DefaultAzureCredential());

KeyVaultSecret secretWithValue = await client.GetSecretAsync("mySecret");
Console.WriteLine(secretWithValut.Value);

有关详细信息，请查看 .NET 存储库上的 samples 页面。