Azure 诊断 - 在 cscfg 中加密连接字符串

Question

在我们的项目中，我们想使用 Azure 诊断。一切都很好，除了一件事，似乎不可能在 cscfg 文件中加密 Azure 诊断连接字符串。以 cscfg 中的这个配置部分为例（隐藏实际值）：

在上面，可以在 Azure 门户中看到整个 conn 字符串（也是 AccountKey）。这是我们的问题。

验证链接： https://manage.windowsazure.com/microsoft.onmicrosoft.com#Workspaces/CloudServicesExtension/CloudService/your-cloud-srv/configure

此外，它可以在这个 cscfg 文件中看到。在推出期间，我们不想公开 AccountKey 除门户管理员之外的任何其他方。 现在，我的问题是：是否可以在 cscfg 文件中使用加密的 AccountKey，或者，激活 Azure 诊断的建议方法是什么，例如在 Azure Diag 激活之前可以解密 conn 字符串？

这一切都必须与最新的 Azure SDK 2.71 或 2.8.1 配合使用。

更新：如果我添加加密的 conn 字符串来表示 cscfg，例如 EncDiagConnString，如果我在 Azure 角色中提供解密的 conn 字符串，Azure SDK 2.7.1 或 Azure SDK 2.8.1 是否仍然可以以编程方式启动诊断开始（） 方法？

更新2：似乎是这样激活 Azure 诊断，可以通过 Azure 管理 API（REST API）在云服务之外，最好的选择似乎是使用 Azure PowerShell cmdlet：https://azure.microsoft.com/en-us/documentation/articles/cloud-services-dotnet-diagnostics/

Answer 1

为此，您有两个选项是将连接字符串存储在应用程序的App Settings / Connections strings! 中。或者使用 Azure Key Vault 存储应用程序机密并以编程方式访问它们。

Answer 2

在这种情况下，您必须从外部启用诊断并使用 powershell 方法配置存储帐户。如果我们可以指定证书指纹以与 cscfg 文件中的任何设置一起使用，那将是理想的，并且 azure 可以在使用任何设置时自动为我们执行此操作，但遗憾的是它不存在。这里有一个开放的反馈 https://feedback.azure.com/forums/169386-cloud-services-web-and-worker-role/suggestions/9025255-certificate-based-settings-encryption