Что я получу, используя Key Vault?

Question

Отредактировано для акцента: Это консольное приложение на стороне клиента, а не веб-приложение.

У меня есть консольное приложение C#, которое загружает файлы из Azure хранилища BLOB-объектов. Приложение будет запускаться автоматически как запланированная задача, поэтому не может предложить пользователю войти в систему. Я выяснил, как использовать Azure Key Vault для хранения строки подключения, и я создал принцип обслуживания для приложения в Azure Active Справочник. Приложение аутентифицируется с помощью AAD, используя идентификатор клиента и секрет клиента, а затем получает строку подключения из хранилища ключей. Но это все равно оставляет мне необходимость хранить идентификатор клиента и секрет клиента где-нибудь. Я действительно что-то приобрел или я просто перенес проблему с вопроса «как защитить строку подключения?». на 'как защитить клиентскую тайну?'

Answer 1

Подход:

Необходимо создать управляемый идентификатор для самой службы приложения и использовать управляемый идентификатор службы приложения для доступа к секретам и другим конфиденциальным объектам, хранящимся и управляемым в ключе. свод. Дополнительные ресурсы по созданию и интеграции таких управляемых удостоверений доступны в документации Azure.

Преимущества:

Вам больше не нужно иметь дело с секретами приложений, такими как идентификаторы приложений и идентификаторы клиентов, поскольку теперь об этом заботятся через Azure управляемые идентификаторы.