我们是否需要为我们的 Azure Function 应用程序设置做额外的安全性（存储在 Key Vault 中）

Question

我使用 visual Studio 2019 开发了一个 Azure Function。现在，当我在 Azure 中部署 Azure Function >> local.settings.json 中的所有设置（包含一些敏感信息）时，将在local.settings.json中添加“zure 配置”，” >>“应用程序设置”。 正如页面消息所示，这些值是加密存储的，如下所示：-

那么这是否意味着不需要采取额外的步骤来通过使用 Azure Key Vault 来保护应用程序设置中的敏感信息？ 因为那些已经安全了？

Answer 1

它们是安全的，但具有资源权限的用户可能会以角色（例如Contributor ）访问它们。 使用 Key Vault 可以让您更精确地定义访问控制。

例如； 唯一负责管理资源的人是否应该有权访问这些秘密？

Key Vault 还允许一些其他场景，例如能够集中管理机密或跨多个资源共享它们（例如，跨多个区域的应用程序服务）。 也许是一个经常被忽视的人； 监控。 例如，能够分辨出“谁”在什么时间访问了哪个键。

编辑：用于将密钥保管库引用添加到您的应用程序设置的链接

Answer 2

将应用程序可能需要的任何机密存储在 Key Vault 中被认为是最佳做法。 这样，如果有人可以访问需要在 Azure 门户中使用这些机密的应用程序，他们仍然无法访问实际机密。

在 Azure Key Vault 中集中存储应用程序机密，您可以控制它们的分发。 Key Vault 大大降低了秘密可能被意外泄露的可能性。 当应用程序开发人员使用 Key Vault 时，他们不再需要在其应用程序中存储安全信息。 不必在应用程序中存储安全信息就无需将此信息作为代码的一部分。 例如，应用程序可能需要连接到数据库。 您可以将连接字符串安全地存储在 Key Vault 中，而不是将连接字符串存储在应用代码中。

您的应用程序可以使用 URI 安全地访问它们需要的信息。 这些 URI 允许应用程序检索特定版本的机密。 无需编写自定义代码来保护存储在 Key Vault 中的任何秘密信息。

资料来源： 关于 Azure Key Vault - 为什么要使用 Azure Key Vault？ - 集中应用秘密

长话短说
您目前需要使用 Key Vault 吗？ 也许不是，尽管仍然取决于有多少其他人可以访问订阅/资源组/Function 应用程序。

我会建议您将您的秘密放入 Key Vault 中吗？ 是的。 尤其是现在这样做会让您习惯使用 Key Vault 并为将来做好准备。

编辑：
要从 Key Vault 引用机密，请查看 Key Vault 引用。 这使您的应用程序无需更改任何代码即可从 Key Vault 获取机密！

有关操作方法的文档，请参阅将 Key Vault 参考用于应用服务和 Azure 函数。

编辑 2：

即使我们将它们存储在 Azure 密钥库中，也可以查看它们

是的，但前提是某人具有正确的角色分配。 如果秘密在应用程序设置中，任何有权访问 Azure 门户内的 Function 应用程序的人也可以看到秘密。