Функции Azure Key Vault

Question

Как я понимаю, до тех пор, пока я настраиваю гранты для KeyVault, моя функция должна иметь возможность читать из нее с помощью

@Microsoft.KeyVault(SecretUri=MYSECRETFULLURL), и я предполагаю, что это будет преобразовано во время выполнения?

Есть идеи, как мне отладить это?

В настоящее время, когда дело доходит до моей функции, это выше, ничего не преобразовано.

Запуск под управлением системы.

Если я отлаживаю, это все, что я получаю:

Однако я могу увидеть мой аудит хранилища ключей Azure: его ударил.

 public static async Task<IActionResult> Run(
            [HttpTrigger(AuthorizationLevel.Function, "post", Route = null)] HttpRequest req,
            ILogger log)
        {
            var accountToMoveFrom = System.Environment.GetEnvironmentVariable("accountToMonitor");
            log.LogCritical(accountToMoveFrom);
            var accessToken = System.Environment.GetEnvironmentVariable("accessToken");

}

Answer 1

Примечание. Ваш код действительно работает? Регистрация значения ключа перехвачена и отображается как

@Microsoft.KeyVault(SecretUri=MYSECRETFULLURL) 

в журналах, чтобы избежать чувствительной конфигурации из KeyVault, заканчивающегося в файлы журналов, которые могут охватить более широкую аудиторию.

Работает нормально согласно документации (выдержка ниже), также проверьте, что у вас есть:

• Идентификатор управляемой службы (MSI), настроенный в приложении функции
• Перезапустил приложение функции после добавления настройки приложения функции
• MSI функции предоставляется доступ к соответствующему KeyVault, но не к плоскости управления, а к политикам доступа.

• Если вы выполняете / отлаживаете локально в Visual Studio, вам необходимо предоставить учетную запись, зарегистрированную в правах Visual Studio в хранилище ключей, поскольку это удостоверение личности.

Настройки приложения Sourcing из Key Vault Функция ссылок Key Vault позволяет вашему приложению работать так, как если бы оно было используя настройки приложения, как они были, то есть никаких изменений кода требуется. Вы можете получить все подробности из нашего справочника Key Vault. документацию, но я обрисую основы здесь.

Для этой функции требуется назначенный системой управляемый идентификатор для вашего приложения. Позже в этом посте я буду говорить о пользовательских назначениях, но мы пока держим эти предварительные просмотры отдельно.

Затем вам необходимо настроить политику доступа в хранилище ключей, которая дает вашему заявлению разрешение на получение секретов. Узнайте, как настроить политику доступа.

Наконец, установите значение любого параметра приложения на ссылку следующий формат:

@Microsoft.KeyVault (SecretUri = secret_uri_with_version)

где secret_uri_with_version - полный URI для секрета в ключе Свод. Например, это будет что-то вроде: https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931