Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Dica
Esse conteúdo é um trecho do eBook, arquitetura de microsserviços do .NET para aplicativos .NET em contêineres, disponível em do .NET Docs ou como um PDF para download gratuito que pode ser lido offline.
Os segredos armazenados como variáveis de ambiente ou armazenados pela ferramenta gerenciador de segredos ainda são armazenados localmente e não criptografados no computador. Uma opção mais segura para armazenar segredos é o Azure Key Vault, que fornece um local seguro e central para armazenar chaves e segredos.
O pacote Azure.Extensions.AspNetCore.Configuration.Secrets permite que um aplicativo ASP.NET Core leia as informações de configuração do Azure Key Vault. Para começar a usar segredos de um Azure Key Vault, siga estas etapas:
Registre seu aplicativo como um aplicativo do Azure AD. (O acesso aos cofres de chaves é gerenciado pelo Azure AD.) Isso pode ser feito por meio do portal de gerenciamento do Azure.\
Como alternativa, se você quiser que seu aplicativo se autentique usando um certificado em vez de uma senha ou segredo do cliente, use o cmdlet Do PowerShell New-AzADApplication . O certificado que você registra no Azure Key Vault precisa apenas da chave pública. Seu aplicativo usará a chave privada.
Permita que o aplicativo registrado acesse o Key Vault criando uma entidade de serviço. Você pode fazer isso usando os seguintes comandos do PowerShell:
$sp = New-AzADServicePrincipal -ApplicationId "<Application ID guid>" Set-AzKeyVaultAccessPolicy -VaultName "<VaultName>" -ServicePrincipalName $sp.ServicePrincipalNames[0] -PermissionsToSecrets all -ResourceGroupName "<KeyVault Resource Group>"Inclua o cofre de chaves como uma fonte de configuração em seu aplicativo chamando o método de extensão AzureKeyVaultConfigurationExtensions.AddAzureKeyVault ao criar uma IConfigurationRoot instância.
Observe que a chamada de AddAzureKeyVault requer a ID do aplicativo que foi registrada e permitiu acesso ao Key Vault nas etapas anteriores. Ou primeiro você pode executar o comando da CLI do Azure: az login, usando uma sobrecarga de AddAzureKeyVault que usa um DefaultAzureCredential no lugar do cliente.
Importante
Recomendamos que você registre o Azure Key Vault como o último provedor de configuração, para que ele possa substituir valores de configuração de provedores anteriores.
Recursos adicionais
Usando o Azure Key Vault para proteger segredos do aplicativo
https://learn.microsoft.com/azure/architecture/multitenant-identityArmazenamento seguro de segredos do aplicativo durante o desenvolvimento
https://learn.microsoft.com/aspnet/core/security/app-secretsConfigurando a proteção de dados
https://learn.microsoft.com/aspnet/core/security/data-protection/configuration/overviewGerenciamento e tempo de vida da chave de Proteção de Dados no ASP.NET Core
https://learn.microsoft.com/aspnet/core/security/data-protection/configuration/default-settings
Colaborar conosco no GitHub
A fonte deste conteúdo pode ser encontrada no GitHub, onde você também pode criar e revisar problemas e solicitações de pull. Para obter mais informações, confira o nosso guia para colaboradores.
