问题描述
我正在使用API的POC,以将一些敏感信息存储到sql数据库中/从sql数据库中检索一些敏感信息。 API使用EF核心进行数据库操作。我已经使用Azure keyvault提供程序配置了列级加密。 在keyvault中生成主密钥。
EF配置参考
我需要使用托管身份来访问keyvault形式的加密万能钥匙。以下是使用Microsoft.Azure.Services.AppAuthentication库访问keyvault初始化keyvault Provider并获取令牌令牌的代码。
private static void InitializeAzurekeyvaultProvider()
{
sqlColumnEncryptionAzurekeyvaultProvider azurekeyvaultProvider =
new sqlColumnEncryptionAzurekeyvaultProvider(GetToken);
Dictionary<string,sqlColumnEncryptionKeyStoreProvider> providers =
new Dictionary<string,sqlColumnEncryptionKeyStoreProvider>();
providers.Add(sqlColumnEncryptionAzurekeyvaultProvider.ProviderName,azurekeyvaultProvider);
sqlConnection.RegisterColumnEncryptionKeyStoreProviders(providers);
}
private static async Task<string> GetToken(string authority,string resource,string scope)
{
var azureServicetokenProvider = new AzureServicetokenProvider();
string accesstoken = await azureServicetokenProvider.GetAccesstokenAsync("https://management.azure.com/").ConfigureAwait(false);
return accesstoken;
}
访问令牌已成功生成。
除了主密钥之外,我还将连接字符串存储在keyvault中,并使用托管身份配置keyvault提供程序以从keyvault检索连接字符串。
https://docs.microsoft.com/en-us/aspnet/core/security/key-vault-configuration?view=aspnetcore-3.1
我在Azure中部署了Api应用并启用了身份。我使用此系统生成的ObjectId来添加keyvault访问策略,以允许Api访问keyvault。 我已经提供了诸如get,wrapKey,unwrapKey,sign,verify,list之类的键所需的权限
现在,我可以访问连接字符串并能够连接到数据库。但是,当我尝试将记录保存到数据库中时,出现错误提示。
看起来像生成的令牌一样,我无法访问keyvault。我想念什么吗?请帮忙。
Microsoft.EntityFrameworkCore.dbupdateException
HResult = 0x80131500
Message =更新条目时发生错误。有关详细信息,请参见内部异常。
源= Microsoft.EntityFrameworkCore.Relational
堆栈跟踪:
在Microsoft.EntityFrameworkCore.Update.ReaderModificationCommandBatch.Execute(IRelationalConnection连接)
在Microsoft.EntityFrameworkCore.Update.Internal.BatchExecutor.Execute(IEnumerable 1 commandBatches,IRelationalConnection connection) at Microsoft.EntityFrameworkCore.Storage.RelationalDatabase.SaveChanges(IList
1个条目)处
在Microsoft.EntityFrameworkCore.ChangeTracking.Internal.StateManager.SaveChanges(IList 1 entriesToSave) at Microsoft.EntityFrameworkCore.ChangeTracking.Internal.StateManager.SaveChanges(DbContext _,Boolean acceptAllChangesOnSuccess) at Microsoft.EntityFrameworkCore.sqlServer.Storage.Internal.sqlServerExecutionStrategy.Execute[TState,TResult](TState state,Func
3操作,Func`3 verifySucceeded)
在Microsoft.EntityFrameworkCore.ChangeTracking.Internal.StateManager.SaveChanges(Boolean acceptAllChangesOnSuccess)
在Microsoft.EntityFrameworkCore.DbContext.SaveChanges(Boolean acceptAllChangesOnSuccess)
在Microsoft.EntityFrameworkCore.DbContext.SaveChanges()
位于D:\ Data \ Projects \ DbEncryptionApi \ DbEncryptionApi \ Controllers \ MedicalController.cs:Db中的DbEncryptionApi.Controllers.MedicalController.SavePatientRecord(PatientDto患者)
在Microsoft.Extensions.Internal.ObjectMethodExecutor.Execute(Object target,Object []参数)
在Microsoft.AspNetCore.Mvc.Infrastructure.ActionMethodExecutor.SyncActionResultExecutor.Execute(IActionResultTypeMapper映射器,ObjectMethodExecutor执行器,对象控制器,Object []参数)处
在Microsoft.AspNetCore.Mvc.Infrastructure.ControllerActionInvoker.InvokeActionMethodAsync()
在Microsoft.AspNetCore.Mvc.Infrastructure.ControllerActionInvoker.Next(状态和下一个,范围和范围,对象和状态,布尔值和isCompleted)处
在Microsoft.AspNetCore.Mvc.Infrastructure.ControllerActionInvoker.InvokeNextActionFilterasync()
内部异常1: sqlException:无法使用密钥存储提供程序'AZURE_KEY_VAULT'解密列加密密钥。验证数据库中列加密密钥及其列主密钥的属性。加密列加密密钥的最后10个字节为:“ C6-C8-F6-58-A0-DE-6F-68-73-9F”。 发生一个或多个错误。 (操作返回了无效的状态码“未经授权”)
内部异常2: keyvaultErrorException:操作返回了无效的状态码“未经授权”
解决方法
从该错误看来,您可能没有正确配置列加密密钥并将其链接到KeyVault中的主密钥。
我建议您检查数据库中列加密的设置-作为第一步,也许使用向导来验证KeyVault的设置。