Доступ к KeyVault из Azure экземпляра контейнера, развернутого в VNET

Question

Azure Экземпляр контейнера развернут в VNET, и я хочу сохранить свои ключи и другие конфиденциальные переменные в Key Vault и каким-то образом получить к нему доступ. В документации я обнаружил, что в настоящее время использование управляемых идентификаторов ограничено, если ACI находится в VNET. Есть ли другой способ обойти эту личность и использовать Key Vault?

Я пытаюсь избежать переменных среды и секретных томов, потому что этот контейнер будет запускаться каждый день, а это значит, что будет какой-то скрипт с доступом ко всем секретам, и я не хочу раскрывать их в скрипте.

Answer 1

для доступа к Azure Key Vault вам потребуется доступ к токену. Можно ли сохранить этот токен в секрете k8s?

Если да, то любая команда SKD или CURL может быть используйте для использования Rest API хранилища ключей для извлечения секрета во время выполнения: https://docs.microsoft.com/en-us/rest/api/keyvault/

Если вы не хотите использовать секрет / тома для хранения токена для AKV было бы лучше запекать свой токен в своем образе контейнера и, возможно, каждый день перестраивать свой образ с новым токеном, чтобы вы могли управлять его доступом I AKS одновременно в своем процессе CI