How to get connection string aus der Azure KeyVault?

Einer hypothetischen web-site verbindet derzeit mit:

public SqlConnection CreateConnection()
{
   DbConnection connection = new SqlConnection();
   connection.ConnectionString = GetConnectionString();
   connection.Open();

   return connection;
}

Wo die Magische Verbindung Zeichenfolge gespeichert wird in web.config:

String GetConnectionString()
{
   //Get the connection string info from web.config
   ConnectionStringSettings cs = ConfigurationManager.ConnectionStrings["db"];

   if (cs == null)
      throw new Exception("Could not locate DB connection string");

   return cs.ConnectionString;
}

Nun, ich würde gerne verschieben Sie die Verbindungszeichenfolge aus der web.config-Datei in Azure KeyVault. Wie Holen Sie alles aus dem Azure key vault?

String GetConnectionString()
{
   //Get the connection string info from Azure KeyVault
   String connectionString = GetAzureSecret("dbConnectionString");

   if (String.IsNullOrWhitespace(connectionString)
      throw new Exception.Create("Could not connection string of Azure Key Vault");

   return connectionString;
}

Außer, dass ich nur mit dem einfach-zu-verwenden Sie Azure API. Was ist die tatsächlichen api?

Ungetestet Versuch

string GetAzureSecret(string key)
{
    KeyVaultClient vault = new KeyVaultClient();
    vault.OnAuthenticate += VaultClientAuthenticate;

    var sec = await vault.GetSecretAsync(Key);
    return sec.Value;
}

public static async Task<string> VaultClientAuthenticate(string authority, string resource, string scope)
{
   String clientID = "8675209";
   String clientSecret = "correct battery horse pencil";

   var authContext = new AuthenticationContext(authority);
   ClientCredential clientCred = new ClientCredential(clientID, clientSecret);
   AuthenticationResult result = await authContext.AcquireTokenAsync(resource, clientCred);

   if (result == null)
      throw new Exception("Could not acquire token");

   return result.AccessToken;
}

Bonus Lesen

InformationsquelleAutor Ian Boyd | 2017-05-01
  1. 24

    Was ist die eigentliche api?

    Konnten wir das GetSecret API Wert zu erhalten.

    Zubereitung:

    Registry Azure Active Directory application und Rolle zuweisen

    Schritte:

    1.Erstellen KeyVault und fügen Geheimnis von Azure portal

    How to get connection string aus der Azure KeyVault?

    2.Config-Access-policy

    How to get connection string aus der Azure KeyVault?

    3.Get Access-token

     var context = new AuthenticationContext("https://login.windows.net/" + tenantId);
            ClientCredential clientCredential = new ClientCredential(appId, secretKey);
            var tokenResponse =await context.AcquireTokenAsync("https://vault.azure.net", clientCredential);
            var accessToken = tokenResponse.AccessToken;
            return accessToken;

    Hinweis: die Ressource, Die für die Keyvault ist https://vault.azure.net

    4.Test mit Fiddler'

    How to get connection string aus der Azure KeyVault?

    Wir auch tun können, die leicht mit SDK:

    1.Erstellen Sie ein konsolenprojekt und eine Utils.cs-Datei

    public static string EncryptSecret { get; set; }
        static string appId = "Application ID";
        static string secretKey = "Secert key";
        static string tenantId = "TenantId";

        public static async Task<string> GetAccessToken(string azureTenantId,string azureAppId,string azureSecretKey)
        {

            var context = new AuthenticationContext("https://login.windows.net/" + tenantId);
            ClientCredential clientCredential = new ClientCredential(appId, secretKey);
            var tokenResponse =await context.AcquireTokenAsync("https://vault.azure.net", clientCredential);
            var accessToken = tokenResponse.AccessToken;
            return accessToken;
        }

    2.Fügen Sie Folgen code in der main-Funktion und testen Sie es.

    How to get connection string aus der Azure KeyVault?

    Pakete.config-Datei

    <?xml version="1.0" encoding="utf-8"?>
<packages>
  <package id="Hyak.Common" version="1.0.2" targetFramework="net452" />
  <package id="Microsoft.Azure.Common" version="2.0.4" targetFramework="net452" />
  <package id="Microsoft.Azure.Common.Dependencies" version="1.0.0" targetFramework="net452" />
  <package id="Microsoft.Azure.KeyVault" version="1.0.0" targetFramework="net452" />
  <package id="Microsoft.Bcl" version="1.1.9" targetFramework="net452" />
  <package id="Microsoft.Bcl.Async" version="1.0.168" targetFramework="net452" />
  <package id="Microsoft.Bcl.Build" version="1.0.14" targetFramework="net452" />
  <package id="Microsoft.IdentityModel.Clients.ActiveDirectory" version="3.13.9" targetFramework="net452" />
  <package id="Microsoft.Net.Http" version="2.2.22" targetFramework="net452" />
  <package id="Newtonsoft.Json" version="6.0.4" targetFramework="net452" />
</packages>

    Können wir auch weitere Informationen erhalten Sie von CtrlDot erwähnt Dokument.

    InformationsquelleAutor Tom Sun
  2. 16

    Ich habe nichts gegen Key Vault (ich denke, es ist ein großartiges Produkt!), aber ich kann mir nicht helfen, aber denke, Sie sind overengineering diese.

    Ich würde einfach die integrierte Anwendungseinstellungen - Funktionen in Azure App Service:

    Verbindungszeichenfolgen

    Für .NET-Anwendungen, werden diese Verbindungszeichenfolgen werden injiziert in Ihre .NET Konfiguration connectionStrings Einstellungen zur Laufzeit, überschreiben bestehende Einträge, bei denen der Schlüssel gleich dem verknüpften Datenbanknamen.

    Web-App → Anwendungseinstellungen → Verbindungs-Zeichenfolgen → Hinzufügen einer Verbindung Zeichenfolge, und nennen es db.

    String GetConnectionString()
{
   //Get the Connection String from Application Settings (App Service) 
   //with graceful fallback to web.config
   string cs = WebConfigurationManager.ConnectionStrings["db"].ConnectionString;

   if (cs == null)
      throw new Exception("Could not locate DB connection string");

   return cs;
}

    Was ist der Unterschied zwischen der WebConfigurationManager und der ConfigurationManager?

    Mai 2018 aktualisieren:

    Seit Managed-Service-Identität wurde zu einem Ding, Erwerb einer access-token nicht mehr verlangt Geheimnisse (service principal Anmeldeinformationen) gespeichert, die in Ihrem Dienst für den Zugriff auf Schlüssel-Vault, welches ist ein viel besserer Vorschlag. Hier ist eine Node.js Probe, nur um spice up dieser Antwort ein wenig:

    //Get an access token from Managed Service Identity
//on an Azure IaaS VM
async function getAccessTokenWithMSI() {
  let msi = await axios.get('http://169.254.169.254/metadata/identity/oauth2/token',
    {
      params: {
        'api-version': '2018-02-01',
        'resource': 'https://vault.azure.net'
      },
      headers: {
        'Metadata': 'true'
      },
      timeout: 2000
    });

  return msi.data.access_token;
}

    dann:

    //Get a secret from Key Vault
async function getSecret(accessToken, secretUrl) {
  let response;
  try {
    response = await axios.get(secretUrl,
      {
         params: { 'api-version': '2016-10-01' },
         headers: { 'Authorization': `Bearer ${accessToken}` },
         timeout: 3000
      });
  }
  catch (e) {
    console.log('\nError calling Key Vault:,
        e.response.status, e.response.statusText, e.response.data);
  }
  console.log('\nGet Secret response from Key Vault: ',
      JSON.stringify(response.data, null, 4));

  return response.data;
}
    • Sie mein problem gelöst, aber Tom antwortete auf die Frage, wie gebeten. Also er musste das akzeptieren. Aber Sie bekommen ein upvote.
    InformationsquelleAutor evilSnobu
Schreibe einen Kommentar