【发布时间】:2020-08-29 00:30:12
【问题描述】:
我设置了一个简单的应用服务来使用/测试 Azure 应用配置
- Azure 应用配置包含 2 个非 KeyVault 条目和 1 个作为 Key Vault 引用的条目
- Key Vault 设置了适当的访问策略,允许获取/列出 Azure 应用配置的托管服务标识的机密
我关注了sample application,所以 CreateHostBuilder 看起来像:
public static IHostBuilder CreateHostBuilder(string[] args) =>
Host.CreateDefaultBuilder(args)
.ConfigureWebHostDefaults(webBuilder =>
webBuilder.ConfigureAppConfiguration((hostingContext, config) =>
{
var settings = config.Build();
config.AddAzureAppConfiguration(settings["ConnectionStrings:AppConfig"]);
})
.UseStartup<Startup>());
在部署/运行应用程序时,如果没有指向 KeyVault 的 Azure 应用程序配置条目,则该行为成功。
当我在 Azure App Config 中添加一个指向 KeyVault 的条目时,应用程序将无法启动(HTTP 错误 500.30 - ANCM In-Process Start Failure),日志显示此异常:
异常信息:Microsoft.Extensions.Configuration.AzureAppConfiguration.KeyVaultReferenceException:未配置密钥保管库凭据,也找不到匹配的秘密客户端。错误代码:,密钥:TestConnectionString,标签:,Etag:6ezsqW96CsAet7Ym5H4DedsLTkI,SecretIdentifier: https://testkeyvault.vault.azure.net/secrets/TestSecret ---> System.UnauthorizedAccessException: 未配置密钥库凭据,也找不到匹配的秘密客户端。
似乎有些东西没有得到正确保护,但我已经检查了很多次,并且 Key Vault 有一个访问策略,授予 Azure App Config 身份的 Get/List of Secrets。
我也尝试过主机生成器中的 ConfigureKeyVault 选项,即
public static IHostBuilder CreateHostBuilder(string[] args) =>
Host.CreateDefaultBuilder(args)
.ConfigureWebHostDefaults(webBuilder =>
webBuilder.ConfigureAppConfiguration((hostingContext, config) =>
{
var settings = config.Build();
config.AddAzureAppConfiguration(options =>
{
options.Connect(settings["ConnectionStrings:AppConfig"])
.ConfigureKeyVault(kv =>
{
kv.SetCredential(new DefaultAzureCredential());
});
});
})
.UseStartup<Startup>());
Key Vault 上的访问策略授予 Azure App Config 身份的 Get/List of Secrets 是所有需要完成的事情,还是我错过了什么? (我也尝试过为应用服务授予访问策略,但没有成功)。
【问题讨论】:
-
您能否赋予您的应用系统身份“创建”秘密的能力?
标签: azure azure-web-app-service azure-keyvault azure-app-configuration