[英]Azure DevOps - ARM deployment - Key Vault and Managed Identities
我正在尋求將 Key Vault 集成到 Azure DevOps 中的 ARM 部署的最佳方式的一些清晰度。
例如,部署應用服務並創建托管服務標識,以便它可以從密鑰保管庫中為預先存在的數據庫獲取機密。
1) 在 Azure 門戶中,我為應用服務手動創建了一個新的服務主體,在訪問策略中具有“獲取”和“列表”權限。
2) 在我的 DevOps 項目下的項目設置中,我創建了一個服務連接。
3) 我在 DevOps 中創建了一個具有相關 Key Vault Secrets 的變量組。
4) 在我的應用服務 ARM 模板中,我參考了變量參數引用了服務標識。
這是將 Key Vault 與 DevOps 部署集成的正確方法嗎?
每當我需要將新服務部署到環境中時(比如現在我想部署一個 API),我是否需要在 Azure 中手動創建另一個托管標識以用於 Key Vault 訪問,或者有沒有辦法將其創建為API 服務的初始部署?
預先感謝您的幫助。
如果您使用 MSI,建議在 ARM 模板中設置它
"identity": {
"type": "SystemAssigned"
},
在定義應用服務時。 這將在每次部署時重新創建 MSI。 每次部署后,它的名稱相同,但在 AD 中會有不同的指紋。 對於 Key Vault,這完全沒問題。
在您的 Key Vault ARM 模板中(如果它不是全部在同一個模板中)訪問策略可以通過以下方式引用 MSI:
"tenantID": "[subscription().tenantId]",
"objectId": "[reference(resourceId('Microsoft.Web/sites', INSERT APP SERVICE NAME), '2018-02-01', 'Full').identity.principalId]",
這將引用由應用服務部署創建的 ID。
如果使用此方法,請確保應用服務配置依賴於 Key Vault 和機密(如果在 ARM 模板中引用機密),訪問策略取決於 Key Vault 和應用服務創建,並且正在創建的任何機密設置為依賴Key Vault 以及確保分配以正確的順序進行。
Azure 身份和密鑰保管庫:如何使用托管身份進行身份驗證?
[英]Azure Identity and Key Vault: How to use managed identities to authenticate?
Azure Key Vault - 列出所有請求機密的應用程序(托管身份)
[英]Azure Key Vault - List all Apps (Managed Identities) requesting secretes
如何將 DevOps 發布機密傳遞給 ARM 以進行 Key Vault 部署
[英]How to pass DevOps release secrets to ARM for Key Vault Deployment
如何使用托管身份從 Azure Kubernetes 服務 (AKS) 訪問 Azure Key Vault (AKV)
[英]How to access Azure Key Vault (AKV) from Azure Kubernetes Service (AKS) using Managed Identities
使用托管標識從 JAVA Azure 應用服務訪問 Azure Key Vault
[英]Accessing Azure Key Vault from JAVA Azure App Service using managed identities
如何使用循環分配系統托管身份對 Key Vault 的訪問權限?
[英]How to assign System Managed Identities access to a Key Vault using a loop?
在密鑰保管庫訪問策略中引用托管標識時 Azure ARM 模板 ResourceNotFound 錯誤
[英]Azure ARM template ResourceNotFound error when referencing managed identity in key vault access policy
Azure密鑰保管庫如何識別訪問策略中分配的不同身份
[英]Azure key vault how to identify different identities assigned in access policies
運行 DevOps 服務器部署模板時,Azure LinkedAuthorizationFailed on Active Directory 帳戶/Key Vault 身份驗證
[英]Azure LinkedAuthorizationFailed on Active Directory Account / Key Vault Authentication when running DevOps Server Deployment Template
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.