使用 Azure.Security.KeyVault.Secrets 的网络核心密钥保管库配置
Net core Key vault configuration using Azure.Security.KeyVault.Secrets
我发现使用托管标识连接到 Azure KeyVault 很容易。文档显示了如何操作:
var azureServiceTokenProvider = new AzureServiceTokenProvider();
var keyVaultClient = new KeyVaultClient(
new KeyVaultClient.AuthenticationCallback(
azureServiceTokenProvider.KeyVaultTokenCallback));
config.AddAzureKeyVault(
$"https://{builtConfig["KeyVaultName"]}.vault.azure.net/",
keyVaultClient,
new DefaultKeyVaultSecretManager());
然后我意识到它需要已弃用的包 Microsoft.Azure.KeyVault。所以我正在努力弄清楚如何使用 SDK 4 执行上述操作。我找到的所有文档都与 SDK 3 有关。
[编辑]
我发现以下代码可以使用带有 SDK 4 的托管标识来获取 azure KeyVault Secret。但是我看不到如何将其添加到我的配置中。它曾经使用 Microsoft.Extensions.Configuration.AzureKeyVault 包中的 config.AddAzureKeyVault() 完成,但它与 SDK 4 SecretClient 不兼容:
return Host.CreateDefaultBuilder(args)
.ConfigureAppConfiguration((context, config) =>
{
var azureCredentialOptions = new DefaultAzureCredentialOptions();
var credential = new DefaultAzureCredential(azureCredentialOptions);
var secretClient = new SecretClient(new System.Uri("https://mykeyvault.vault.azure.net/"), credential);
var secret = secretClient.GetSecret("StorageConnectionString");
config.AddAzureKeyVault()
})
.ConfigureWebHostDefaults(webBuilder =>
{
webBuilder.UseStartup<Startup>();
});
}
我正在使用类似的东西,
var keyVaultEndpoint = GetKeyVaultEndpoint();
if (!string.IsNullOrEmpty(keyVaultEndpoint))
{
// Pass appropriate connection string
var azureServiceTokenProvider = new
AzureServiceTokenProvider(certThumbprintConnectionString);
var keyVaultClient = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(
azureServiceTokenProvider.KeyVaultTokenCallback));
config.AddAzureKeyVault(keyVaultEndpoint, keyVaultClient, new DefaultKeyVaultSecretManager());
}
private static string GetKeyVaultEndpoint() => "https://<<key-vault-name>>.vault.azure.net";
首先,Microsoft.Azure.KeyVault 没有被弃用,而是被替换了。使用旧的 nuget 包仍然是一个有效的选择。
我想将来 Microsoft.Extensions.Configuration.AzureKeyVault nuget 包将使用新的 Azure.Security.KeyVault.Secrets 包。
根据我的经验,我会坚持使用现有的库并等待未来的更新。
如果你真的想使用Azure.Security.KeyVault.Secrets,你可以实现自己的custom configuration builder。
我查看了 github 上现有的密钥保管库配置代码,这里是您可以使用的 simplified/modified 版本。
首先安装这些 nuget 包 Azure.Identity 和 Azure.Security.KeyVault.Secrets。
新的 Key Vault 机密包使用 IAsyncEnumerable,因此您需要将项目更新为目标 C#8.0:使用 <LangVersion>8.0</LangVersion>.
更新您的 csproj 文件
Azure Key Vault 机密配置代码:
public interface IKeyVaultSecretManager
{
bool ShouldLoad(SecretProperties secret);
string GetKey(KeyVaultSecret secret);
}
public class DefaultKeyVaultSecretManager : IKeyVaultSecretManager
{
public bool ShouldLoad(SecretProperties secret) => true;
public string GetKey(KeyVaultSecret secret)
=> secret.Name.Replace("--", ConfigurationPath.KeyDelimiter);
}
public class AzureKeyVaultConfigurationProvider : ConfigurationProvider
{
private readonly SecretClient _client;
private readonly IKeyVaultSecretManager _manager;
public AzureKeyVaultConfigurationProvider(SecretClient client, IKeyVaultSecretManager manager)
{
_client = client ?? throw new ArgumentNullException(nameof(client));
_manager = manager ?? throw new ArgumentNullException(nameof(manager));
}
public override void Load() => LoadAsync().ConfigureAwait(false).GetAwaiter().GetResult();
private async Task LoadAsync()
{
var data = new Dictionary<string, string>(StringComparer.OrdinalIgnoreCase);
await foreach (var secretProperties in _client.GetPropertiesOfSecretsAsync())
{
if (!_manager.ShouldLoad(secretProperties) || secretProperties?.Enabled != true)
continue;
var secret = await _client.GetSecretAsync(secretProperties.Name).ConfigureAwait(false);
var key = _manager.GetKey(secret.Value);
Data.Add(key, secret.Value.Value);
}
Data = data;
}
}
public class AzureKeyVaultConfigurationSource : IConfigurationSource
{
public SecretClient Client { get; set; }
public IKeyVaultSecretManager Manager { get; set; }
public IConfigurationProvider Build(IConfigurationBuilder builder)
{
return new AzureKeyVaultConfigurationProvider(Client, Manager);
}
}
public static class AzureKeyVaultConfigurationExtensions
{
public static IConfigurationBuilder AddAzureKeyVault(
this IConfigurationBuilder configurationBuilder,
SecretClient client,
IKeyVaultSecretManager manager = null)
{
if (configurationBuilder == null)
throw new ArgumentNullException(nameof(configurationBuilder));
if (client == null)
throw new ArgumentNullException(nameof(client));
configurationBuilder.Add(new AzureKeyVaultConfigurationSource()
{
Client = client,
Manager = manager ?? new DefaultKeyVaultSecretManager()
});
return configurationBuilder;
}
}
您现在可以像这样在您的项目中使用此配置生成器:
public class Program
{
public static void Main(string[] args)
{
CreateWebHostBuilder(args).Build().Run();
}
public static IWebHostBuilder CreateWebHostBuilder(string[] args) =>
WebHost.CreateDefaultBuilder(args)
.ConfigureAppConfiguration((context, config) =>
{
var azureCredentialOptions = new DefaultAzureCredentialOptions();
var credential = new DefaultAzureCredential(azureCredentialOptions);
var secretClient = new SecretClient(new System.Uri("https://mykeyvault.vault.azure.net/"), credential);
config.AddAzureKeyVault(secretClient);
})
.UseStartup<Startup>();
}
事实证明,我找到了使用 SDK 4 的正确方法。我必须安装包 azure.extensions.aspnetcore.configuration.secrets 然后代码很简单:
var credential = new DefaultAzureCredential();
config.AddAzureKeyVault(new System.Uri("https://mykv.vault.azure.net/"), credential);
然后使用它
configuration["StorageConnectionString"]
请注意,如果您在 App Service 或 Azure Functions 应用程序设置中使用 Azure Key Vault 机密,则无需添加额外代码即可获取 Key Vault 值。
您只需更改您的应用程序设置值(在 Azure 门户中),以及您的密钥保管库引用。
步骤看https://docs.microsoft.com/en-us/azure/app-service/app-service-key-vault-references
使用密钥保管库引用设置示例:
{
"name": "DatabaseSettings:ConnectionString",
"值": "@Microsoft.KeyVault(SecretUri=https://myvault.vault.azure.net/secrets/DatabaseConnectionSettingSecret/ec96f02080254fxxxxxxxxxxxxxxx)",
“插槽设置”:假
}
但这不适用于本地开发,您应该使用纯秘密值。但对我来说没关系,因为您的本地开发使用不同的秘密值,并且您没有将 local.settings.json 添加到源代码管理。
版本 4 库的最新工作解决方案。我的堆栈是 .netcore 3.1,我在 Azure Web 应用程序中使用它来访问 Azure KeyVault 的机密。
第一件事 - 完成这个 MS Doc link
using Azure.Identity;
using Azure.Security.KeyVault.Secrets;
//..........
var kvUri = "https://YOURVAULTNAME.vault.azure.net/";
var client = new SecretClient(new Uri(kvUri), new DefaultAzureCredential());
KeyVaultSecret secret = client.GetSecret("SECRETNAME");
// Can also use await.....GetSecretAsync()
this.ConnectionString = secret.Value.ToString();
\thats my internal variable, secret.Value.ToString() is required value
我假设你有
- 在 Azure 中创建了 keyVault
- 在应用服务中创建了托管身份(使用应用服务中的 'Identity' 选项)
- 在 Azure KeyVault 中添加了上述标识('Access policies' 选项)
我发现使用托管标识连接到 Azure KeyVault 很容易。文档显示了如何操作:
var azureServiceTokenProvider = new AzureServiceTokenProvider();
var keyVaultClient = new KeyVaultClient(
new KeyVaultClient.AuthenticationCallback(
azureServiceTokenProvider.KeyVaultTokenCallback));
config.AddAzureKeyVault(
$"https://{builtConfig["KeyVaultName"]}.vault.azure.net/",
keyVaultClient,
new DefaultKeyVaultSecretManager());
然后我意识到它需要已弃用的包 Microsoft.Azure.KeyVault。所以我正在努力弄清楚如何使用 SDK 4 执行上述操作。我找到的所有文档都与 SDK 3 有关。
[编辑]
我发现以下代码可以使用带有 SDK 4 的托管标识来获取 azure KeyVault Secret。但是我看不到如何将其添加到我的配置中。它曾经使用 Microsoft.Extensions.Configuration.AzureKeyVault 包中的 config.AddAzureKeyVault() 完成,但它与 SDK 4 SecretClient 不兼容:
return Host.CreateDefaultBuilder(args)
.ConfigureAppConfiguration((context, config) =>
{
var azureCredentialOptions = new DefaultAzureCredentialOptions();
var credential = new DefaultAzureCredential(azureCredentialOptions);
var secretClient = new SecretClient(new System.Uri("https://mykeyvault.vault.azure.net/"), credential);
var secret = secretClient.GetSecret("StorageConnectionString");
config.AddAzureKeyVault()
})
.ConfigureWebHostDefaults(webBuilder =>
{
webBuilder.UseStartup<Startup>();
});
}
我正在使用类似的东西,
var keyVaultEndpoint = GetKeyVaultEndpoint();
if (!string.IsNullOrEmpty(keyVaultEndpoint))
{
// Pass appropriate connection string
var azureServiceTokenProvider = new
AzureServiceTokenProvider(certThumbprintConnectionString);
var keyVaultClient = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(
azureServiceTokenProvider.KeyVaultTokenCallback));
config.AddAzureKeyVault(keyVaultEndpoint, keyVaultClient, new DefaultKeyVaultSecretManager());
}
private static string GetKeyVaultEndpoint() => "https://<<key-vault-name>>.vault.azure.net";
首先,Microsoft.Azure.KeyVault 没有被弃用,而是被替换了。使用旧的 nuget 包仍然是一个有效的选择。
我想将来 Microsoft.Extensions.Configuration.AzureKeyVault nuget 包将使用新的 Azure.Security.KeyVault.Secrets 包。
根据我的经验,我会坚持使用现有的库并等待未来的更新。
如果你真的想使用Azure.Security.KeyVault.Secrets,你可以实现自己的custom configuration builder。
我查看了 github 上现有的密钥保管库配置代码,这里是您可以使用的 simplified/modified 版本。
首先安装这些 nuget 包 Azure.Identity 和 Azure.Security.KeyVault.Secrets。
新的 Key Vault 机密包使用 IAsyncEnumerable,因此您需要将项目更新为目标 C#8.0:使用 <LangVersion>8.0</LangVersion>.
Azure Key Vault 机密配置代码:
public interface IKeyVaultSecretManager
{
bool ShouldLoad(SecretProperties secret);
string GetKey(KeyVaultSecret secret);
}
public class DefaultKeyVaultSecretManager : IKeyVaultSecretManager
{
public bool ShouldLoad(SecretProperties secret) => true;
public string GetKey(KeyVaultSecret secret)
=> secret.Name.Replace("--", ConfigurationPath.KeyDelimiter);
}
public class AzureKeyVaultConfigurationProvider : ConfigurationProvider
{
private readonly SecretClient _client;
private readonly IKeyVaultSecretManager _manager;
public AzureKeyVaultConfigurationProvider(SecretClient client, IKeyVaultSecretManager manager)
{
_client = client ?? throw new ArgumentNullException(nameof(client));
_manager = manager ?? throw new ArgumentNullException(nameof(manager));
}
public override void Load() => LoadAsync().ConfigureAwait(false).GetAwaiter().GetResult();
private async Task LoadAsync()
{
var data = new Dictionary<string, string>(StringComparer.OrdinalIgnoreCase);
await foreach (var secretProperties in _client.GetPropertiesOfSecretsAsync())
{
if (!_manager.ShouldLoad(secretProperties) || secretProperties?.Enabled != true)
continue;
var secret = await _client.GetSecretAsync(secretProperties.Name).ConfigureAwait(false);
var key = _manager.GetKey(secret.Value);
Data.Add(key, secret.Value.Value);
}
Data = data;
}
}
public class AzureKeyVaultConfigurationSource : IConfigurationSource
{
public SecretClient Client { get; set; }
public IKeyVaultSecretManager Manager { get; set; }
public IConfigurationProvider Build(IConfigurationBuilder builder)
{
return new AzureKeyVaultConfigurationProvider(Client, Manager);
}
}
public static class AzureKeyVaultConfigurationExtensions
{
public static IConfigurationBuilder AddAzureKeyVault(
this IConfigurationBuilder configurationBuilder,
SecretClient client,
IKeyVaultSecretManager manager = null)
{
if (configurationBuilder == null)
throw new ArgumentNullException(nameof(configurationBuilder));
if (client == null)
throw new ArgumentNullException(nameof(client));
configurationBuilder.Add(new AzureKeyVaultConfigurationSource()
{
Client = client,
Manager = manager ?? new DefaultKeyVaultSecretManager()
});
return configurationBuilder;
}
}
您现在可以像这样在您的项目中使用此配置生成器:
public class Program
{
public static void Main(string[] args)
{
CreateWebHostBuilder(args).Build().Run();
}
public static IWebHostBuilder CreateWebHostBuilder(string[] args) =>
WebHost.CreateDefaultBuilder(args)
.ConfigureAppConfiguration((context, config) =>
{
var azureCredentialOptions = new DefaultAzureCredentialOptions();
var credential = new DefaultAzureCredential(azureCredentialOptions);
var secretClient = new SecretClient(new System.Uri("https://mykeyvault.vault.azure.net/"), credential);
config.AddAzureKeyVault(secretClient);
})
.UseStartup<Startup>();
}
事实证明,我找到了使用 SDK 4 的正确方法。我必须安装包 azure.extensions.aspnetcore.configuration.secrets 然后代码很简单:
var credential = new DefaultAzureCredential();
config.AddAzureKeyVault(new System.Uri("https://mykv.vault.azure.net/"), credential);
然后使用它
configuration["StorageConnectionString"]
请注意,如果您在 App Service 或 Azure Functions 应用程序设置中使用 Azure Key Vault 机密,则无需添加额外代码即可获取 Key Vault 值。
您只需更改您的应用程序设置值(在 Azure 门户中),以及您的密钥保管库引用。
步骤看https://docs.microsoft.com/en-us/azure/app-service/app-service-key-vault-references
使用密钥保管库引用设置示例: { "name": "DatabaseSettings:ConnectionString", "值": "@Microsoft.KeyVault(SecretUri=https://myvault.vault.azure.net/secrets/DatabaseConnectionSettingSecret/ec96f02080254fxxxxxxxxxxxxxxx)", “插槽设置”:假 }
但这不适用于本地开发,您应该使用纯秘密值。但对我来说没关系,因为您的本地开发使用不同的秘密值,并且您没有将 local.settings.json 添加到源代码管理。
版本 4 库的最新工作解决方案。我的堆栈是 .netcore 3.1,我在 Azure Web 应用程序中使用它来访问 Azure KeyVault 的机密。
第一件事 - 完成这个 MS Doc link
using Azure.Identity;
using Azure.Security.KeyVault.Secrets;
//..........
var kvUri = "https://YOURVAULTNAME.vault.azure.net/";
var client = new SecretClient(new Uri(kvUri), new DefaultAzureCredential());
KeyVaultSecret secret = client.GetSecret("SECRETNAME");
// Can also use await.....GetSecretAsync()
this.ConnectionString = secret.Value.ToString();
\thats my internal variable, secret.Value.ToString() is required value
我假设你有
- 在 Azure 中创建了 keyVault
- 在应用服务中创建了托管身份(使用应用服务中的 'Identity' 选项)
- 在 Azure KeyVault 中添加了上述标识('Access policies' 选项)