Хранение и получение пароля администратора SQL для SQL Azure

Поскольку я создаю базу данных SQL Azure с использованием шаблона ARM, необходимо предоставить главного администратора SQL.

Я намерен сохранить это значение пароля в Azure Keyvault, и ARM будет использовать только секретный идентификатор.

В рабочем режиме пользователь / роль, создающий и проверяющий пароль, будет менеджером операций, и инженер по развертыванию не должен иметь представления о пароле.

В этом контексте достаточно ли просто создать / сохранить [Секрет] в Azure Key Vault? И не используете криптографические ключи?

Я упустил что-нибудь важное в моем подходе, описанном выше?


azure sql arm-template azure-sql-database azure-keyvault
person GilliVilla    schedule 11.02.2019    source источник
comment
Думаю, это зависит от того, насколько ты хочешь от меня секрета. Обычно мы связываем параметр шаблона arm с keyvault и позволяем keyvault внедрять его во время развертывания. В большинстве случаев это хорошо для нас.   -  person Souciance Eqdam Rashti    schedule 11.02.2019

Ответы (2)


arrow_upward
1
arrow_downward

Key Vault поможет вам защитить криптографические ключи и другие секреты, используемые вашими приложениями, когда они находятся локально или в облаке. Все больше и больше служб в Azure теперь интегрируют Azure Key Vault в качестве своего секретного / ключевого источника для таких вещей, как развертывание, данные или даже шифрование диска.

В шаблонах Azure Resource Manager вы можете предоставить ссылки на секреты в Azure KeyVault и в пакете SDK для Azure 2.9. Вы можете использовать инструменты, доступные в VS, чтобы сделать это так же просто, как сохранить секрет. Чтобы это заработало, нужно выполнить несколько шагов, но в этом выпуске мы облегчили вам задачу.

  1. Создайте Key Vault для секретов, которые вы хотите использовать во время развертывания.
  2. Поместите секреты в хранилище
  3. Задайте свойства в Key Vault, чтобы разрешить Azure Resource Manager извлекать секреты во время развертывания.
  4. Создайте шаблон развертывания для ссылки на secureStrings в Key Vault.

Также обратите внимание, что пользователю, выполняющему развертывание, потребуются разрешения на чтение секретов в хранилище.

Ссылка: Поддержка хранилища ключей в шаблонах ARM.

Вот руководство: Создать хранилище ключей Azure с помощью шаблона ARM

Это может помочь вам сохранить и получить пароль из Azure Keyvault.

Надеюсь это поможет.

person Leon Yue    schedule 12.02.2019

arrow_upward
0
arrow_downward

Вы можете получить его из хранилища KeyVault, как показано ниже:

template.json:

   "resources": [
        {
            "type": "Microsoft.KeyVault/vaults",
            "name": "[parameters('name')]",
            "apiVersion": "2016-10-01",
            "location": "[parameters('location')]",
            "properties": {
                "enabledForDeployment": "[parameters('enabledForDeployment')]",
                "enabledForTemplateDeployment": "[parameters('enabledForTemplateDeployment')]",
                "enabledForDiskEncryption": "[parameters('enabledForDiskEncryption')]",
                "accessPolicies": "[parameters('accessPolicies')]",
                "tenantId": "[parameters('tenant')]",
                "sku": {
                    "name": "[parameters('sku')]",
                    "family": "A"
                }
            }
        }
    ]

parameters.json:

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "name": {
            "value": "ContosoAKV"
        },
        "location": {
            "value": "centralus"
        },
        "sku": {
            "value": "Standard"
        },
        "accessPolicies": {
            "value": []
        },
        "tenant": {
            "value": "XXXXXXXXXXXXXXXXXXXXXXXX"
        },
        "enabledForDeployment": {
            "value": false
        },
        "enabledForTemplateDeployment": {
            "value": false
        },
        "enabledForDiskEncryption": {
            "value": false
        }
    }
}
person Alberto Morillo    schedule 12.02.2019
comment
это создает кв, а не извлекает ключ - person 4c74356b41; 12.02.2019