使用 ASP.NET Core 2.2 我正在尝试配置数据保护,以便将密钥环存储在 Azure Blob 存储中,并使用存储在密钥保管库中的密钥保护密钥环。
在我的配置服务((方法中,我有:
public void ConfigureServices(IServiceCollection services)
{
services.AddDataProtection()
.PersistKeysToAzureBlobStorage(new Uri("myblob-sasuri"))
.ProtectKeysWithAzureKeyVault(keyVaultClient, "key-identifier-uri");
}
一切看起来都不错,但我对访问密钥保管库时的禁止错误感到困惑。我无法弄清楚我是否以某种方式搞砸了密钥标识符(可疑(或密钥保管库客户端或权限。
我怀疑权限,但文档没有告诉我客户端需要什么权限。
有人成功地完成了这项工作吗?
通过实验,我了解到 KeyVault 访问策略必须在密钥权限的"加密操作"部分中启用"解包密钥"权限。因此,必须在访问策略中向授予对 KeyVault 的访问权限的服务主体授予该特定权限。我们遇到了问题,因为我们没有启用它,我们只是启用了加密和解密权限。这应该被记录下来,我在这里向文档添加了反馈:https://learn.microsoft.com/en-us/aspnet/core/security/data-protection/configuration/overview?view=aspnetcore-2.2