正式发布:应用服务和 Azure Functions 中的机密配置选项更新
发布日期:七月 07, 2021
Key Vault 引用现在 Windows 和 Linux 上都提供扩展的网络支持,还提供指定用户分配的标识的能力。我们还允许应用使用应用标识从 Blob 存储访问其内容包。
通过 Key Vault 引用,可使用托管标识来解析 Azure Key Vault 中的机密并将它们公开为环境变量。这样,团队无需更改代码即可将机密轻松移入管理。在上一公告中,宣布了在从 Key Vault 解析机密时,Windows 应用可使用虚拟网络集成。这项支持现提供给 Linux 应用,并且对于将网络集成和自动旋转一起使用,取消了相关限制。
在过去,Key Vault 引用依赖于应用基于系统的标识。而通过今天的更新,应用可转而指定用户分配的标识来用于访问其机密。这极大地简化了某些自动化工作流,因为在创建应用之前,就可创建标识并向其分配对保管库的权限。
尽管这些功能大大简化了机密管理,但通常最好从工作流中完全删除机密,而不是直接依赖标识。采用“从包中运行”支持的应用已经能够使用共享访问签名 (SAS),这与机密相比提供了一些优势,但仍然需要一些管理。目前,我们允许应用只需使用托管标识即可,前提是应用已获授权可访问存储帐户。
类似地,应用需尽量使用最新的 Azure SDK 客户端库,这有助于使用标识从应用程序代码连接到 Azure 服务。对于 Azure Functions,我们最近发布了基于标识的连接支持预览版,它允许 Functions 运行时、触发器和绑定使用系统分配或用户分配的标识。