{"id":630,"date":"2018-10-15T20:21:49","date_gmt":"2018-10-15T18:21:49","guid":{"rendered":"http:\/\/cwiok.pl\/?p=630"},"modified":"2018-10-15T20:29:23","modified_gmt":"2018-10-15T18:29:23","slug":"tworzenie-azure-key-vault","status":"publish","type":"post","link":"https:\/\/cwiok.pl\/index.php\/pl\/2018\/10\/15\/tworzenie-azure-key-vault\/","title":{"rendered":"Tworzenie Azure Key Vault"},"content":{"rendered":"

Key Vault jest to modu\u0142 Azure, kt\u00f3ry pozwala na bezpieczne przechowywanie hase\u0142, kluczy i innych sekret\u00f3w. Z jego pomoc\u0105 developerzy nie musz\u0105 zapisywa\u0107 po\u015bwiadcze\u0144 lub adres\u00f3w po\u0142\u0105cze\u0144 w kodzie. Mog\u0105 natomiast odpyta\u0107 Key Vault i pozyska\u0107 je kiedy s\u0105 potrzebne. Aplikacja b\u0119dzie w stanie potwierdzi\u0107 swoj\u0105 to\u017csamo\u015b\u0107 i uzyska\u0107 dost\u0119p do has\u0142a, nawet w sytuacji gdy developer takiego dost\u0119pu nie ma. Stw\u00f3rzmy Key Vault!<\/p>\n

\"\"<\/a><\/p>\n

Tworzenie Key Vault<\/h1>\n
\"image\"<\/a><\/div>\n

Aby stworzy\u0107 Key Vault (jak zapewne si\u0119 domy\u015blasz) zwyczajnie wyszukaj go w us\u0142ugach Azure. Podczas tworzenia modu\u0142u, mo\u017cesz zmieni\u0107 r\u00f3\u017cne polityki dost\u0119pu. Polecam zostawi\u0107 warto\u015bci domy\u015blne – mo\u017cesz to zmieni\u0107, gdy ju\u017c b\u0119dziesz wiedzia\u0142 jaki poziom zabezpiecze\u0144 jest dla Ciebie odpowiedni.<\/p>\n

Rejestrowanie aplikacji w Azure Active Directory<\/h1>\n

Aby aplikacja mia\u0142a dost\u0119p do sekret\u00f3w, musisz zarejestrowa\u0107 j\u0105 w Azure Active Directory. Tylko tak b\u0119dzie mog\u0142a uwierzytelni\u0107 si\u0119 w Key Vault.<\/p>\n

Otw\u00f3rz Function App i przejd\u017a do panelu Platform features:<\/p>\n

\"image\"<\/a><\/div>\n

Kliknij na Managed service indentity i zarejestuj j\u0105 w AAD:<\/p>\n

\"image\"<\/a><\/div>\n

 <\/p>\n

 <\/p>\n

Inn\u0105 metod\u0105 jest zastosowanie Powershella:<\/p>\n

Set-AzureRmWebApp -AssignIdentity $true -Name $appname \u2013ResourceGroupName $resourcegroupname<\/pre>\n
 <\/p>\n
Teraz, gdy aplikacja jest ju\u017c w AAD, mo\u017cesz doda\u0107 j\u0105 do Access Policies w Key Vault. Aby to zrobi\u0107 przejd\u017a do access policies:<\/p>\n
\"image\"<\/a><\/div>\n
Dodaj now\u0105, wybierz odpowiedni poziom dost\u0119pu i wyszukaj aplikacj\u0119 jej pe\u0142n\u0105 nazw\u0105:<\/p>\n
\"image\"<\/a><\/div>\n
Teraz, twoja aplikacja ma dost\u0119p do sekret\u00f3w. Nawet je\u015bli ty ich nie widzisz, mo\u017cesz z nich korzysta\u0107 przez aplikacj\u0119.<\/p>\n
Tworzenie sekretu<\/h1>\n
Przejd\u017a do sekret\u00f3w w g\u0142\u00f3wnym menu. Tutaj mo\u017cesz wpisywa\u0107 has\u0142a, kt\u00f3re b\u0119d\u0105 dost\u0119pne tylko przez wybrane zasoby\/osoby.<\/p>\n
\n
\"image\"<\/a><\/p>\n<\/div>\n
Kliknij na Generate\/Import i dodaj has\u0142o:<\/p>\n
 <\/p>\n
\"image\"<\/a><\/div>\n
<\/div>\n
\"image\"<\/a><\/div>\n
<\/div>\n
 <\/p>\n
Po stworzeniu sekretu, skopiuj jego URL. Znajdziesz go w menu sekretu. Ten URL mo\u017cesz doda\u0107 w aplikacji jako zmienn\u0105 \u015brodowiskow\u0105 lub wklei\u0107 jako kod, tak jak poni\u017cej.<\/p>\n
\"image\"<\/a><\/div>\n
<\/h1>\n
Dost\u0119p do sekret\u00f3w przez Function App<\/h1>\n
Teraz jeste\u015b gotowy, \u017ceby stworzy\u0107 funkcj\u0119, kt\u00f3ra dostanie si\u0119 do sekretu.<\/p>\n
Przejd\u017a do Visual Studio i stw\u00f3rz Azure Function z wyzwalaczem HTTP:<\/p>\n
\"image\"<\/a><\/div>\n
<\/div>\n
\"image\"<\/a><\/div>\n
Musisz doda\u0107 dwa modu\u0142y:<\/p>\n
using Microsoft.Azure.Services.AppAuthentication;\r\nusing Microsoft.Azure.KeyVault;<\/pre>\n
 <\/p>\n
Nast\u0119pnie dodaj te 3 linijki kodu:<\/p>\n
var azureServiceTokenProvider = new AzureServiceTokenProvider();\r\nvar kv = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(azureServiceTokenProvider.KeyVaultTokenCallback));\r\nstring secret = kv.GetSecretAsync(\u201c<Secret URL you have copied>\u201d).Result.Value;<\/pre>\n
 <\/p>\n
Mo\u017cesz zmieni\u0107 warto\u015b\u0107, kt\u00f3r\u0105 zwraca funkcja:<\/p>\n
return (ActionResult)new OkObjectResult($\"Your secret is: \" + secret);<\/pre>\n
 <\/p>\n
Ca\u0142y kod:<\/p>\n
using System;\r\nusing System.IO;\r\nusing System.Threading.Tasks;\r\nusing Microsoft.AspNetCore.Mvc;\r\nusing Microsoft.Azure.WebJobs;\r\nusing Microsoft.Azure.WebJobs.Extensions.Http;\r\nusing Microsoft.AspNetCore.Http;\r\nusing Microsoft.Azure.WebJobs.Host;\r\nusing Microsoft.Extensions.Logging;\r\nusing Newtonsoft.Json;\r\nusing Microsoft.Azure.Services.AppAuthentication;\r\nusing Microsoft.Azure.KeyVault;\r\n\r\n\r\nnamespace MySecretApp\r\n{\r\n    public static class Function1\r\n    {\r\n        [FunctionName(\"Function1\")]\r\n        public static async Task<IActionResult> Run([HttpTrigger(AuthorizationLevel.Function, \"get\", \"post\", Route = null)]HttpRequest req, ILogger log)\r\n        {\r\n            log.LogInformation(\"C# HTTP trigger function processed a request.\");\r\n\r\n            var azureServiceTokenProvider = new AzureServiceTokenProvider();\r\n            var kv = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(azureServiceTokenProvider.KeyVaultTokenCallback));\r\n            string secret = kv.GetSecretAsync(\u201c<Secret URL you have copied>\u201d).Result.Value;\r\n\r\n            return (ActionResult)new OkObjectResult($\"Your secret is: \" + secret);\r\n                \r\n        }\r\n    }\r\n}\r\n<\/pre>\n
 <\/p>\n
Po publikacji, gdy wywo\u0142asz funkcj\u0119, otrzymasz sw\u00f3j sekret:<\/p>\n
\n
\"image\"<\/a><\/p>\n<\/div>\n
Mam nadziej\u0119, \u017ce pomog\u0142em \ud83d\ude42<\/p>\n
Micha\u0142<\/p>\n","protected":false},"excerpt":{"rendered":"
Key Vault jest to modu\u0142 Azure, kt\u00f3ry pozwala na bezpieczne przechowywanie hase\u0142, kluczy i innych sekret\u00f3w. Z jego pomoc\u0105 developerzy nie musz\u0105 zapisywa\u0107 po\u015bwiadcze\u0144 lub adres\u00f3w po\u0142\u0105cze\u0144 w kodzie. Mog\u0105 natomiast odpyta\u0107 Key Vault i pozyska\u0107 je kiedy s\u0105 potrzebne. Aplikacja b\u0119dzie w stanie potwierdzi\u0107 swoj\u0105 to\u017csamo\u015b\u0107 i uzyska\u0107 dost\u0119p do has\u0142a, nawet w sytuacji gdy developer takiego dost\u0119pu nie ma. Stw\u00f3rzmy Key Vault!<\/p>\n
 \"\"<\/a><\/p>\n
Read More<\/a><\/div>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[30],"tags":[],"class_list":["post-630","post","type-post","status-publish","format-standard","hentry","category-azure-pl"],"_links":{"self":[{"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/posts\/630","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/comments?post=630"}],"version-history":[{"count":0,"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/posts\/630\/revisions"}],"wp:attachment":[{"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/media?parent=630"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/categories?post=630"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cwiok.pl\/index.php\/wp-json\/wp\/v2\/tags?post=630"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}