問題タブ [azure-keyvault]

PowerShell を使用せずに Azure Key Vault でシークレットを設定する方法。Azure Key Vault を使用して、接続文字列やその他のアプリケーション シークレットを安全に保管しています。PowerShell スクリプトを使用してシークレットを追加することはできますが、できれば API を使用して、Azure KeyVault にキーを追加する別の方法があるかどうか疑問に思っていました。実際には、アプリケーション管理者がキー コンテナーのシークレットを追加/変更できる管理ツールを提供する必要があります。

異なるサブスクリプションのすべての Key Vault に同じ名前を設定しようとしていますが、以下のエラーが発生します。

キー コンテナー名をすべてのサブスクリプションで一意にする必要があるかどうかを誰かに教えてもらえますか?

Azure Key Vault に保持したい秘密がいくつかあります。次の手順に従って、クライアントとシークレットを使用する代わりに、クライアント ID と証明書を使用して Key Vault で認証できることを知っています。

1. 証明書を取得または作成する
2. 証明書を Azure AD アプリケーションに関連付ける
3. 証明書を使用するコードをアプリケーションに追加します

ほとんどの例では、makecert または New-SelfSignedCertificate を使用して証明書を作成しています。この場合、本番アプリケーションの場合、自己署名証明書に問題はありますか? これは、アプリケーションが Azure Key Vault で認証するためだけのものであり、クライアントがブラウザーに表示するものではありません。

この場合、自己署名証明書がまだ嫌われている場合、信頼できる機関から証明書を購入することは、SSL/TLS 証明書を購入することと同じプロセスですか? 同じ種類の証明書ですか？

ネイティブ クライアント アプリケーション内から Azure Key Vault を直接使用することは可能ですか?

Azure Key Vault に保存されている接続文字列があり、winforms アプリからこれにアクセスしたいと考えています。既に winform を Azure Active Directory に追加しており、プログラムのクライアント ID を持っています。残念ながら、プログラムがキー コンテナーのキーを使用することを認証できません。エラーが発生します：

「テナント 'tenantId' に Active Directory オブジェクト 'clientId' が見つかりません。承認しているアプリケーション サービス プリンシパルのユーザーが、現在のサブスクリプションの Azure Active Directory に登録されていることを確認してください。」

ネイティブ クライアント アプリケーションの Azure Active Directory では、構成ページでキーを追加することはできません。これが問題ですか？私の方法は可能ですか、それとも Web API が Azure Key Vault にアクセスすることだけが許可されていますか?

PowerShell 経由で Key Vault にキーをインポートできます。次に、キーをインポートするための Web インターフェイスを作成します。KeyVaultClient.ImportKeyAsync() 関数を使用してみましたが、 keyBundle パラメータに固執しています。keyBundle が KeyVault から返されることを理解しています。PFX ファイルを keyBundle に変換する方法がわかりません。ファイル パスとパスワードを渡す Add-AzureKeyVaultKey コマンドレットに似た拡張メソッドはありますか? または、PFX を keyBundle に変換する方法はありますか?

Winforms アプリケーションで Azure Key Vault を使用したいと考えています。アプリを Azure Active Directory に追加し、powershell を使用してキー コンテナーにシークレットを作成することができました。アプリはシークレットを使用するために認証されます。残念ながら、winforms アプリでシークレットを使用することはできません。私は例外を受け取ります：

*sts_token_request_failed: セキュリティ トークン サービスへのトークン要求が失敗しました。詳細については、InnerException を確認してください。

InnerException: AADSTS70002: 資格情報の検証中にエラーが発生しました。AADSTS50012: 無効なクライアント シークレットが指定されました。*

構成:

私のコードは次のとおりです。

マニフェストまたは app.config で何か変更する必要がありますか? secretName とは何ですか? powershellで作ったシークレットの名前ですか？ネイティブ クライアント アプリケーションでは、アクティブ ディレクトリにキーを追加するための「構成」タブがありません。これが問題ではないでしょうか？

データベース サーバーに暗号化が必要な機密データ (電子メールなど) があり、サーバーが侵害された場合に、攻撃者がこれらのデータを解読できないようにしたいとします。 （少なくともそれを難し​​くします）。

私はいくつかの解決策をオンラインで読みましたが、どちらかができるようです

ハードウェア セキュリティ モジュール (つまり、Amazon KMS/Vault) を使用して、別のサーバーで暗号化/復号化を処理します。公開鍵暗号化を使用します (データベース サーバーの公開鍵がデータを暗号化し、秘密鍵が復号化のみを処理する別のサーバーに格納されます)。お互いのトレードオフは何ですか?また、どちらを選択しますか?

Always Encryptedと Azure Key Vault に格納されている列マスター キーを使用して、Azure SQL Database のいくつかの列を暗号化しましたが、Entity Framework を使用してアプリケーションからそれらの列にアクセスするのに問題があります。

Azure Key Vault で Always Encrypted を使用するように SqlConnection を設定する方法を説明している最近のMSDN の記事と古いブログ投稿があるので、通常の DbContextは、.DbConnection

問題は、IdentityDbContextそのコンストラクターを持たない を使用していることです。 を使用する唯一のコンストラクターはDbConnectionも使用しますDbCompiledModel。これは、現時点で私の給与水準を超えています。

IdentityDbContextKey Vault を使用するためのセットアップ方法を説明できる人はいますか?

ARM テンプレートを使用して作成した Service Fabric クラスターに証明書をインストールする必要があります。次のヘルパーpowershellコマンドを使用して、秘密鍵で証明書をインストールできました。

https://github.com/ChackDan/Service-Fabric/tree/master/Scripts/ServiceFabricRPHelpers

この証明書が Azure Key Vault に入ったら、ARM テンプレートを変更して、クラスター内のノードに証明書を自動的にインストールできます。

問題は、Invoke-AddCertToKeyVault が、私が秘密鍵を持っていると仮定して pfx ファイルを提供することを期待していることです。

スクリプトは、次の JSON BLOB を作成しています。

スクリプトを修正してパスワードを削除し、dataType を 'cer' に変更しましたが、テンプレートを Azure にデプロイすると、dataType が無効になったと表示されました。

秘密キーを含まないサービス ファブリック クラスターに証明書をデプロイするにはどうすればよいですか?