问题描述
任何可以侵入我的代码并获取客户端 ID、租户 ID 和证书指纹的人都可以访问存储在我的密钥保管库中的机密。那么这与将秘密值直接存储在我的代码中,让任何入侵我代码的人都可以阅读的地方有什么区别?
解决方法
即使有人能够获取该信息,您的保管库仍然是安全的,因为为了访问您的 Key Vault 并查看其中的内容,需要将用户、应用或身份添加到您的 Key Vault 的管理中平面 (RBAC) 和数据平面(访问策略)以查看保管库中的任何内容。
因此,如果用户拥有租户 ID,他们仍然无法访问您的 AKV,除非他们拥有具有正确 RBAC 和访问策略权限的用户、应用或身份凭据。
更多信息:Management plane and Azure RBAC Data plane and access policies