问题描述
在应用配置上使用 Azure Key Vault 有什么意义吗?
是的,是的,我知道 - 它们是免费的,密钥保管库,用于...的应用配置。
但是,考虑到它们都是加密的,基本上要让某人看到秘密或配置值,他们就必须有权访问您的 azure 门户(这是一个低级别的坏人场景)。
我看到的唯一区别在于,您可以在保管库和配置之间以不同方式控制权限,但除此之外,如果有人未经授权可以访问您的门户,您会遇到更大的问题。
那么 - 为什么?并且请只提出正确和真实的论点,不要“因为你应该”或“因为 X 人这么说”,我可以从应用程序配置中没有的密钥保管库中获得什么好处?
解决方法
1-存储在 Azure Key Vault 中的数据已加密(应用配置未加密)
2-如果一个人与贡献者角色相关联,他/她可以在您的应用配置中看到配置,在 Key Vault 上,只允许 Principals。
3-您可以轮换存储在 Azure Key Vault 中的机密,并且您的应用不会有任何停机时间(除非您在应用服务上缓存它并需要重新启动它以刷新缓存)
4-Azure Key Vault 是 Microsoft 推荐的用于存储机密、密钥和证书的服务