Укажите конфигурацию приложения-функции со ссылкой на хранилище ключей в шаблоне ARM Azure

Question

Есть ли способ указать ссылки KeyVault в конфигурации приложения функции в моем шаблоне ARM?

У меня есть шаблон ARM, в котором будет развернуто приложение-функция Azure с различными параметрами развертывания для каждой среды. В настоящее время я получаю секрет в моей среде по ссылкам в параметре:

{
"storageAccountSecret": {
    "reference": {
        "keyVault": {
             "id": "/subscriptions/plan-id-goes-here/resourceGroups/group-name-goes-here/providers/Microsoft.KeyVault/vaults/vault-name-goes-here"
         }, 
         "secretName": "super-secret-name-goes-here"
     }
}

Затем я ссылаюсь на параметр в шаблоне ARM, ресурсы -> свойства -> siteConfig -> appSettings

 {
   "name": "AzureWebJobsStorage",
   "value": "[parameters('storageAccountSecret')]"
 },

Выше работает отлично! Тем не менее, наша команда также периодически поворачивает наши ключи, которые изменяют основную ценность секрета. При моем текущем подходе секрет этой конфигурации приложения функции не будет обновляться, пока мы снова не запустим шаблон ARM.

У меня есть возможность использовать KeyVault Reference в конфигурации с использованием следующего синтаксиса в конфигурации.

@Microsoft.KeyVault(SecretUri=https://vault-name-goes-here.vault.azure.net/secrets/super-secret-name-goes-here/)

Теперь, когда основной секрет изменится, моя функция App все равно получит обновленный секрет. Однако это требует от меня, чтобы сделать это вручную. Я хотел бы добиться того же эффекта только с помощью одного шаблона ARM, это возможно? ?

Answer 1

Именно по этой причине вы всегда должны использовать полный URL-адрес своих секретов в Key Vault, включая версию. См. здесь .

Когда вы обновляете секрет в Key Vault, вы получаете новый URL. Как только вы обновите настройки приложения (через ваш шаблон ARM или любым другим способом), функция будет перезапущена. Это желаемое поведение при обновлении настроек приложения.