Как мне безопасно хранить строки подключения, идентификатор клиента и т. Д.?

Question

Позвольте мне привести некоторые подробности моей настройки.

Я создаю основное API-приложение asp.net, размещенное в Azure.Я храню свои секретные ключи и прочее в лазурном ключе.Тем не менее, у меня есть некоторые AzureAddClientId и секрет, который теперь хранится в appsettings.json (для доступа к хранилищу ключей).Я также добавил appsettings.json в мой репозиторий git.Однако я знаю, что это небезопасно.Я использую Azure DevOps для релизов.Поэтому я думаю сделать следующее.Пожалуйста, дайте мне знать ваши мысли по этому поводу.

1. добавьте appsettings.json в git ignore и поделитесь файлом среди разработчиков.
2. добавьте AzureAddClientId и AzureAADClientSecret, чтобы Azure DevOps собирал конвейер как переменные.(Будут ли devops автоматически принимать переменные, как если бы они были в appsettings.json?)

Answer 1

Пожалуйста, ознакомьтесь с использованием Управляемых удостоверений .

Общая проблема при создании облачных приложений заключается в том, как управлять учетными данными в вашем коде для проверки подлинности в облачных службах.Обеспечение безопасности учетных данных является важной задачей.В идеале учетные данные никогда не появляются на рабочих станциях разработчиков и не проверяются в системе контроля версий.Azure Key Vault предоставляет способ безопасного хранения учетных данных, секретов и других ключей, но ваш код должен пройти аутентификацию в Key Vault, чтобы получить их.

Эта проблема решается с помощью функции управляемых удостоверений для ресурсов Azure в Azure Active Directory (Azure AD).Эта функция предоставляет службам Azure автоматически управляемую идентификацию в Azure AD.Вы можете использовать эту идентификацию для аутентификации в любой службе, которая поддерживает аутентификацию Azure AD, включая Key Vault, без учетных данных в вашем коде .