Использование ASP.Net Core v2.2 ProtectKeysWithAzureKeyVault () защита данных

Question

Использование ASP.NET Core 2.2 Я пытаюсь настроить защиту данных таким образом, чтобы я сохранял связку ключей в хранилище BLOB-объектов Azure и защищал связку ключей с помощью ключа, хранящегося в KeyVault.

В моем методе ConfigureServices () у меня есть:

public void ConfigureServices(IServiceCollection services)
{
    services.AddDataProtection()
            .PersistKeysToAzureBlobStorage(new Uri("myblob-sasuri"))
            .ProtectKeysWithAzureKeyVault(keyVaultClient, "key-identifier-uri");
}

Все выглядит хорошо, но меня смущают Запрещенные ошибки при доступе к keyvault. Я не могу понять, если я как-то облажался идентификатор ключа (сомнительно) или keyVaultClient, или разрешения.

Я подозреваю, что разрешения, но нигде документы не говорят мне, какие разрешения нужны клиенту.

Кто-нибудь сделал эту работу успешно?

Answer 1

В результате экспериментов я узнал, что в политике доступа KeyVault должно быть включено разрешение «Развернуть ключ» в разделе «Криптографические операции» в разделе «Разрешения ключа». Таким образом, субъекту службы, которому вы предоставляете доступ к KeyVault, должно быть предоставлено одно конкретное разрешение в ваших политиках доступа. Мы столкнулись с проблемами, потому что мы не включили это, у нас были только разрешения на шифрование и дешифрование. Это должно быть задокументировано, я добавил отзыв к документу здесь: https://docs.microsoft.com/en-us/aspnet/core/security/data-protection/configuration/overview?view=aspnetcore-2.2