Azure Functions és Azure Container Apps titkok kezelése

Ha Azure Functions-t futtat az Azure Container Apps-ben, kétféle titokkal dolgozik:

Category Leírás Fogyasztott:
Alkalmazásszintű titkos kódok A konfigurációs értékek, a függvénykód futásidőben beolvasott értékei, például adatbázis-kapcsolati sztringek, API-kulcsok és trigger-/kötési hitelesítő adatok. A kód és a Functions futtatókörnyezeti kötései.
Függvények hozzáférési kulcsai Olyan hitelesítési jogkivonatok (hozzáférési kulcsok), amelyek a HTTP által aktivált függvényvégpontokat biztosítják, beleértve a fő-, gazdagép-, függvény- és rendszerkulcsokat. A HTTP-függvények külső hívói (szolgáltatások, webhookok, fejlesztők).

Ez a két kategória irányban különbözik:

Alkalmazásszintű titkos kódok Funkciók hozzáférési kulcsai
Irány Kimenő – a függvény más szolgáltatásoknak hitelesíti magát Bejövő – a hívók hitelesítik magukat a függvényhez
Ki tartja a titkot? Az ön függvényalkalmazása A hívó (webhook-szolgáltató, szolgáltatás, fejlesztő)
Mit véd? Mihez kapcsolódik a függvény? Ki hívhatja meg a HTTP-végpontot?
Érvényesítve: A célszolgáltatás A Functions-futtatókörnyezet

Alkalmazásszintű titkos kódok

Az alkalmazásszintű titkosítások azok a hitelesítő adatok, amelyekre a függvénykódnak és a kötéseknek szüksége van a külső szolgáltatásokhoz való csatlakozáshoz. Kétféleképpen tárolhatja őket:

Lehetőség A következőkre alkalmas Forgatás Audit Guide
Tárolóalkalmazások titkos kódjai Fejlesztés/tesztelés, egyszerű egyalkalmazásos számítási feladatok Kézikönyv Csak tevékenységnaplók Alkalmazásszintű titkos kódok tárolása
Key Vault hivatkozások Gyártási környezet, több alkalmazás, megfelelőség Automatikus (verzió nélküli URI) Teljes Key Vault diagnosztika Alkalmazásszintű titkos kódok tárolása

Jótanács

Kezdje a Container Apps titkos kódokkal az egyszerűség kedvéért. Lépjen Key Vault hivatkozásokra, ha központosított felügyeletre, automatikus rotációra vagy megfelelőségi szintű naplózásra van szüksége.

Funkciók hozzáférési kulcsai

A hozzáférési kulcsok egyszerű, megosztott titkos hitelesítést biztosítanak a HTTP-végpontokhoz. Használjon hozzáférési kulcsokat, amikor a hívók nem tudnak Microsoft Entra ID jogkivonatokat bemutatni, például külső web hookok, szolgáltatásközi hívások vagy fejlesztés közben.

Állítsa be a környezeti változót AzureWebJobsSecretStorageType egy háttérrendszer kiválasztásához:

Háttérrendszer Beállítás értéke A következőkre alkalmas Guide
Container Apps titkos tároló containerapp A legtöbb számítási feladat – nincsenek külső függőségek (ajánlott) Gazdagépkulcsok konfigurálása
Azure Key Vault keyvault Központosított irányítás, megfelelőségi naplózás Gazdagépkulcsok konfigurálása
Azure Blob-tároló blob Örökölt alkalmazások vagy meglévő AzureWebJobsStorage függőségek Gazdagépkulcsok konfigurálása
Helyi fájlrendszer files Nem ajánlott a Container Appsben – lásd a figyelmeztetést Nincs adat.

Note

Az Azure Container Appsben futó Functions esetében a platform alapértelmezés szerint a containerapp-t (a Container Apps titkoskulcs-tárolóját) használja, ha a AzureWebJobsSecretStorageType nincs kifejezetten beállítva. Ez azt jelenti, hogy a hozzáférési kulcsokat alapértelmezés szerint a Container Apps platform natív titkos tára kezeli. Ezt az alapértelmezett beállítást felülírhatja úgy, hogy a(z) AzureWebJobsSecretStorageType értékét keyvault vagy blob értékre állítja, ha a munkaterheléséhez másik háttérrendszerre van szükség.

Warning

Ne állítsa be a AzureWebJobsSecretStorageType-t files-re. Azure Container Apps fájlrendszere átmeneti. A files háttérrendszerben tárolt gazdakiszolgáló-kulcsok minden újraindításkor, nullára skálázáskor vagy egy verzió üzembe helyezésekor elvesznek.

Következő lépések

Válassza ki a kezelni kívánt titkos kód típusának megfelelő útmutatót: