对于Azure服务主体,我们在config file
中有以下键<add key="SubscriptionId" value="" />
<add key="ClientId" value="" />
<add key="ClientSecret" value="" />
<add key="TenantId" value="" />
是否有任何Azure密钥保险库之类的服务,我们可以在其中安全地保留这些钥匙并根据需求使用它?
客户端的秘密比其他需要安全的更重要。不幸的是,即使您将其存储到KeyVault,也是拨打密钥vault的网关。没有唯一的用客户秘密验证Azure AD的方法。您可以在创建密钥时使用客户秘密,而是可以使用证书。上传该证书将为您提供指标。然后,您需要在Azure的某个地方(通常在应用程序或Azure App Service((ref https://learn.microsoft.com/en-en-us/azure/app-service/app-service/app-service/app-service-come oppains of Applice或app-service(中上传私钥(又名PEM或PFX(-web-ssl-cert-load(。您的应用程序代码只需要仔细阅读证书(当然您需要为证书设置密码(,如果匹配指标,则由Azure AD授权。
其他敏感信息,例如存储访问密钥,数据库连接字符串,REDIS缓存密钥,VM密码或您的公司证书可以存储在KeyVault中。
如果您不喜欢获得访问令牌的复杂过程,请查看托管服务身份,该身份可以使Azure服务成为服务主体本身。不需要客户应用注册和客户端秘密。MSI目前处于预览阶段,并适用于某些服务。