Key Vault è un servizio di Microsoft Azure che permette di memorizzare in maniera sicura dati sensibili, quali certificati, stringhe di connessione, password, e quant'altro, mantenendoli in uno storage criptato.
Questi dati sono poi esposti tramite una REST API protetta da Azure Active Directory, così che solo utenti o service principal autorizzati possano accedervi.
Ma come possiamo sfruttare questo servizio in un'applicazione ASP.NET Core?
Il modo più semplice consiste nell'utilizare una libreria di Microsoft che permetta di integrare gli AppSettings con i valori provenienti da KeyVault.
Per iniziare dobbiamo aggiungere una reference ai seguenti pacchetti NuGet:
dotnet add package Azure.Identity dotnet add package Azure.Extensions.AspNetCore.Configuration.Secrets
A questo punto, nel nostro program.cs, possiamo recuperare i secret in Azure KeyVault con il seguente metodo:
builder.Configuration.AddAzureKeyVault( new Uri($"https://{builder.Configuration["KeyVaultName"]}.vault.azure.net/"), new DefaultAzureCredential());
I secret così ottenuti, verranno aggiunti agli AppSettings, così che possiamo accedervi come ogni altra configurazione:
var connectionString = builder.Configuration.GetValue<string>("sqlconnectionstring")
Ma come viene effettuata l'autenticazione? La spiegazione sta nell'utilizzo di DefaultAzureCredential, che sfrutta la Managed Identity della nostra applicazione su Azure, senza che dobbiamo preoccuparci di gestire username o password. Tutto ciò che dobbiamo fare è attivare questa opzione sul nostro App Service, come nell'immagine in basso:
Successivamente, dobbiamo ricordarci di assegnare a questa identity i relativi permessi su KeyVault tramite Access Policies:
Un'ultima nota riguarda il fatto che Managed Identity funziona esclusivamente quando la nostra applicazione è in esecuzione in Azure. Quando siamo in fase di sviluppo, possiamo configurare un'account di test (ovviamente autorizzato nella stessa KeyVault) tramite l'opzione Azure Service Authentication di Visual Studio:
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Sostituire la GitHub Action di login su private registry
Implementare l'infinite scroll con QuickGrid in Blazor Server
Registrare servizi multipli tramite chiavi in ASP.NET Core 8
Potenziare Azure AI Search con la ricerca vettoriale
Evitare la script injection nelle GitHub Actions
Personalizzare l'errore del rate limiting middleware in ASP.NET Core
Short-circuiting della Pipeline in ASP.NET Core
Eseguire attività basate su eventi con Azure Container Jobs
Eseguire attività con Azure Container Jobs
Utilizzare HiLo per ottimizzare le insert in un database con Entity Framework
Creare form tipizzati con Angular
Sfruttare lo stream rendering per le pagine statiche di Blazor 8