問題タブ [azure-keyvault]

新しい KeyVault を作成すると、次のエラーが表示されます

他のすべての製品の場合、ソリューションは、GUI を使用して同じリージョン/アカウントに同様のリソースをデプロイすることですが、KeyVault はまだポータルで使用できません。(クラシックまたはプレビュー)

KeyVaultを作成する手順はこちらです。それが重要な場合、たまたまOSXを使用していますが、NPMはすべてのプラットフォームで動作します。

プライバシー上の理由から、ここでは azure.err をダンプしませんが、重要な情報は次のとおりです。

登録すると修正されたようです。HSM キーが作成されていないことを誰かが確認したい場合の出力を次に示します...簡単に修正できます。SKU を追加するだけです

Azure キー値を正常に作成できましたが、PFX ファイルを正常にインポートできません。使用したコマンドは次のとおりです。

これが私が得ているエラーです:

command: を使用するとGet-AzureRmKeyVault、アクセス キーに関する次の情報が得られました。

ここに私の質問があります：

1. Set-AzureRmKeyVaultAccessPolicy を使用してインポートするアクセス許可を自分自身に付与する必要がありますか?
2. もしそうなら、証明書をインポートする権限を自分自身に与えるためのこのコマンドのパラメータは何ですか?

Azure Key Vault からシークレットをプルする必要がある Azure ワーカー ロールに Powershell スタートアップ タスクを含めています。クライアント証明書を使用して Key Vault 要求を認証したいと考えています (ロールが起動すると、VM に証明書がインストールされます)。

Azure のドキュメントに関するこのチュートリアルを見てみましたが、これにはいくつかの C# メソッドを記述し、多数の nuget パッケージを含める必要があります。もっと簡単な方法はありますか？

Service Fabric クラスター用の VM スケール セットを作成し、いくつかのシークレットをキー コンテナーの VM に関連付ける ARM テンプレートを使用しています。今朝、VM と keyvault が同じリージョンに存在する必要があるように見えることを発見しました。そうしないと、次のようなエラーが発生します。

これは人為的な制限のように感じられ、私にとって大きな問題です。すべてのシークレットを展開し、すべての展開からそれらを利用する、一元化されたキー コンテナーが必要です。世界中の地域で私の秘密を複製しなければならないのはばかげており、非常にエラーが発生しやすいようです. ここでは、リージョン間でシークレットを取得する際に重大なパフォーマンスの問題は発生しません。では、この背後にある理由は何ですか。また、それは変わるのでしょうか?

Azure Scale Sets チームの誰かがこれに色を付けたいと思っていますか?

キー ローテーションのAzure Storage サンプル コードは、複数の一意の名前のシークレットを使用する方法を示しています。ただし、KeyVault 内では、単一のシークレットの複数のバージョンを作成できるようになりました。バージョンを使用してキーのローテーションを実現できない理由はわかりません。一見すると、管理が簡単になるようです。

キーローテーションをサポートするために、単一のシークレットのバージョンではなく複数のシークレットを選択する理由について、誰かがガイダンスを提供できますか? そして、これではない場合、どのバージョンが意図されているかについての一般的なガイダンスはありますか?

ありがとう！

Azure Key Vault を使用して、API によって生成された JwtTokens の署名を作成するために使用されるキーを格納したいと考えていました。

Jwt トークン認証には、Microsoft.AspNet.Authentication.JwtBearer を使用し、次のように構成しました。

ご覧のとおり、この構成では、完全な鍵と秘密部分 (IssureSigningKey プロパティ) を提供する必要があります。キーがxmlファイルに保護されずにファイルシステムのどこかに保存されていて、アプリケーションの起動時にそれをロードしているときは問題なく動作します。ただし、キーを Azure Key Vault (AKV) に保存しようとすると問題が発生します。AKV ではキーの公開部分のみを取り消すことができるため、すべてを連携させるのに苦労しています。

TokenValidationParameters クラスには、署名が有効かどうかを判断するために AKV 暗号化/復号化メソッドを使用する独自のバリデーター メソッドを提供するために使用できるデリゲート プロパティがあることがわかりました。

問題は、JWT トークンの署名部分を生成する独自のメソッドを指定する方法を判断できないため、Microsoft.AspNet.Authentication.JwtBearer の構成に秘密キーが必要ないことです。

私の質問は、JwtBearer 構成で、または JwtSecurityTokenHandler.CreateToken を使用したトークンの作成中に、生成された JWT トークンの署名を作成する独自のメソッドを何らかの形で指定することは可能ですか?

Azure Keyvault に接続する AD 証明書ベースのアプリケーションをセットアップするための次のガイドを参照しました。

https://azure.microsoft.com/en-us/documentation/articles/key-vault-use-from-web-application/

http://www.rahulpnath.com/blog/authenticating-a-client-application-with-azure-key-vault/

http://kamranicus.com/blog/2016/02/24/azure-key-vault-config-encryption-azure/

Linux プラットフォームで実行されている Java アプリケーションがあり、証明書ベースの認証を介して azure keyvault rest api を呼び出す予定です。

証明書ストリームを介してトークンを生成する Java ベースのサンプル スニペットはありますか。つまり、証明書は文字列として保存され、その場で任意のトークン生成 API に渡されます。上記のリンクの例は、店舗に設置されていることを前提としています

基本的に、プライベート証明書 (.pfx ファイル) を統合アカウントに追加しようとしています。新しいポータルを使用しています。

私がやったこと/作成したこと:

• リソース グループ
• 統合アカウント
• キー コンテナー
• アクティブ ディレクトリ
• コマンド Set-AzureRmKeyVaultAccessPolicy を使用して、ユーザーにすべてのキーとシークレットへのアクセス許可を付与します

Integration Account > Certificates > Add > choose [Certificate Type]="Private" に移動すると、コンボボックスのリソース グループとキー コンテナーは自動的に入力されますが、キー名は次のエラーをスローします。

キー コンテナー [MY_KEY_VAULT] との通信に失敗しました。ロジック アプリ サービス プリンシパル '7cd684f4-8a78-49b0-91ec-6a35d38739ba' に 'list'、'get'、'decrypt' および 'sign' 操作のためのアクセスを許可することにより、ロジック アプリがキー コンテナーで操作を実行することを承認してください。

奇妙なことは、ObjectID 7cd684f4-8a78-49b0-91ec-6a35d38739ba が私の AD ではなく、会社の AD に属していることです。

Powershell を使用して、Key Vault からキーを削除しようとしています。しかし、「Remove-AzureKeyVaultKey : キーが見つかりません」というエラー メッセージが表示されます。

AzureRmKeyVaultKeys を取得できますが、RM にキーを削除するためのコマンドレットがありません。

MSDN を参照すると、Remove-AzureRmKeyVaultKey のページがありますが、詳細には、Remove-AzureKeyVaultKey と書かれています。