Хранение и получение пароля администратора SQL для SQL Azure

Question

Когда я создаю базу данных SQL Azure, используя шаблон ARM, необходимо предоставить главного администратора SQL.

Я намерен сохранить это значение пароля в Azure Keyvault, и ARM будет использовать только секретный идентификатор.

В рабочем режиме пользователь / роль, создающая и сохраняющая пароль, будет диспетчером Opertaions, а инженер по развертыванию не должен знать о пароле.

Это контекст,достаточно просто создать / сохранить [Секрет] в хранилище ключей Azure?И у вас нет использования криптографических ключей?

Я что-то упустил в моем подходе выше?

Answer 1

Key Vault поможет вам защитить криптографические ключи и другие секреты, используемые вашими приложениями, когда они находятся локально или в облаке.Все больше и больше служб в Azure теперь интегрируют хранилище ключей Azure в качестве источника секретного ключа для таких вещей, как развертывание, шифрование данных или даже диск.

В шаблонах Azure Resource Manager вы можете предоставить ссылки на секреты вAzure KeyVault и в 2.9 Azure SDK вы можете использовать инструменты, доступные в VS, чтобы сделать это так же просто, как сохранить секрет.Есть несколько шагов, необходимых для этой работы, но мы упростили вам задачу в этом выпуске.

1. Создание хранилища ключей для секретов, которые вы хотите использовать во время развертывания
2. Помещение секретов в хранилище
3. Задание свойств хранилища ключей, чтобы Azure Resource Manager мог получать секреты во время развертывания
4. Создание шаблона развертывания для ссылки на secureStrings в хранилище ключей

Обратите внимание, что пользователю, выполняющему развертывание, потребуются разрешения на чтение для секретов в хранилище.

Ссылка: Поддержка хранилища ключей в шаблонах ARM.

Вот учебное пособие: Создание хранилища ключей Azure с использованием шаблона ARM

Это может помочь вам сохранить и получить пароль из Azure Keyvault.

Надеюсь, это поможет.

Answer 2

Вы можете получить его из хранилища KeyVault, как показано ниже:

template.json:

   "resources": [
        {
            "type": "Microsoft.KeyVault/vaults",
            "name": "[parameters('name')]",
            "apiVersion": "2016-10-01",
            "location": "[parameters('location')]",
            "properties": {
                "enabledForDeployment": "[parameters('enabledForDeployment')]",
                "enabledForTemplateDeployment": "[parameters('enabledForTemplateDeployment')]",
                "enabledForDiskEncryption": "[parameters('enabledForDiskEncryption')]",
                "accessPolicies": "[parameters('accessPolicies')]",
                "tenantId": "[parameters('tenant')]",
                "sku": {
                    "name": "[parameters('sku')]",
                    "family": "A"
                }
            }
        }
    ]

parameters.json:

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "value": "ContosoAKV"
        },
        "location": {
            "value": "centralus"
        },
        "sku": {
            "value": "Standard"
        },
        "accessPolicies": {
            "value": []
        },
        "tenant": {
            "value": "XXXXXXXXXXXXXXXXXXXXXXXX"
        },
        "enabledForDeployment": {
            "value": false
        },
        "enabledForTemplateDeployment": {
            "value": false
        },
        "enabledForDiskEncryption": {
            "value": false
        }
    }
}