在上一篇文章中,我们演示了如何使用Azure 资源托管标识访问KeyVault,但是对于Azure中国区的朋友来说,会空欢喜一场。因为截至本文发稿。Azure资源托管标识功能仍旧未在中国区上线。
所以我们只能使用Azure Service Principal来访问KeyVault了,其中会需要用到一个AAD的ApplicationID和 秘钥。这种场景就比较诡异了,我为了不把某个秘钥写在应用程序中,期望它在运行时,动态的去KeyVault中读取。结果我去和KeyVault本身交互时,又多了一个秘钥,个人感觉多此一举。
另外这里不得不提一下,KeyVault中存的Key,比如RSA秘钥上传以后,客户端读出来的秘钥只能读到公钥,私钥不可见。可参考文档:https://docs.microsoft.com/zh-cn/azure/key-vault/about-keys-secrets-and-certificates 。因此如果我们想上传一个RSA秘钥对,并且希望从KeyVault中原样读取,可以使用【机密】而不是【秘钥】。
比如先把秘钥文件(.pem)文件转换成base64字符串,然后再上传。
下文就通过一个Linux Shell 脚本 [start-demo.sh]来演示该流程:
- 使用工具openssl生成一个RSA密钥对,文件名为private.pem
- 使用Azure AD Service Principal 登陆Azure CLI
- 上传 private.pem 至Azure KeyVault
- 从Azure KeyVault中下载 private.pem
#!/bin/bash # # The parameters of Azure Active Directory application # clientId='{ AAD Application Id}' clientAuth='{ AAD 应用程序 秘钥}' tenant='cecccic.partner.onmschina.cn' # # Genr. RSA key pair # echo 'Genr. RSA key pair...' openssl genrsa -des3 -out private.pem 1024 # # Login Azure CLI with Azure AD application. # echo "login in Azure China started..." az cloud set -n AzureChinaCloud az login --service-principal -u $clientId -p $clientAuth --tenant $tenant --allow-no-subscriptions if [ $? = 0 ] then echo "login in Azure China successfully." fi # # Upload private.pem file to Azure KeyVault # echo 'Upload private.pem file to Azure KeyVault started...' inputbase64key=` base64 private.pem -w 0 ` az keyvault secret set --vault-name 'dev' --name 'demo-key' --value $inputbase64key > /dev/null echo 'Upload private.pem file to Azure KeyVault done.' # # Download private.pem file from Azure KeyVault to local # echo 'Download private.pem file from Azure KeyVault started...' az keyvault secret show --vault-name 'dev' --name 'demo-key' |jq -r .value | base64 -d -w 0 > private2.pem echo 'Download private.pem file done'
本文链接: https://www.pstips.net/access-keyvault-based-on-azure-service-principal.html
请尊重原作者和编辑的辛勤劳动,欢迎转载,并注明出处!
请尊重原作者和编辑的辛勤劳动,欢迎转载,并注明出处!