Azure密鑰保管庫管理在生產和開發中的祕密

Question

看來，Azure密鑰保管庫不支持分配給組的訪問策略;只有一些分配給用戶或服務主體。它還支持每個密鑰保管庫最多10個訪問策略，這意味着我無法分配所有我想單獨訪問的人員。

我不想將客戶機密傳遞給所有開發人員。在部署應用程序的情況下，傳遞一個客戶機密鑰，以便代碼可以作爲服務主體進行身份驗證，然後獲取機密。

開發人員通過NTLM/Kerberos（通過ADFS）向AAD進行身份驗證以獲取訪問令牌（不通過客戶端密鑰）。通過獲取此訪問令牌，他們應該能夠訪問安全存儲的運行我們的應用程序所需的其他所有機密的表單（就像生產代碼在作爲服務主體進行身份驗證時一樣）。

我該如何做到這一點？

Answer 1

編輯：組現在可以關聯到密鑰保管庫訪問策略。只需指定通常放置用戶對象標識或服務主體對象標識的組的對象標識。

這是一個有點 痛苦變通，但...

你可以寫一個非常簡單的應用程序，對重點庫的頂部添加一個圖層。這個應用程序（可能是一個web應用程序，一個API或兩者）將設置爲使用Azure AD進行身份驗證，並檢查調用者的組成員身份以確定他們是否應該訪問給定的祕密。如果是這樣，應用程序將從密鑰保管庫中檢索密鑰並將其傳遞給請求者。 （該應用程序的服務負責人將是Key Vault授權的人員。）