none
使用Azure key vault 开发 RRS feed

  • 问题

  • 各位大神,目前希望使用key vault 对Azure  storage 进行开发,需求如下

    客户的系统,会将附件存放到Azure storage 里面的blob 存储内,访问blob存储,每次都需要调用storage 的访问密钥,但客户考虑到,如果直接将key 写入代码内存在风险,希望能够对key进行定期自动更新以确保安全。为此向客户建议使用key vault 去管理storage的key,但我在测试过程中,遇到问题,我的操作步骤来源于此文档 https://docs.microsoft.com/zh-cn/azure/key-vault/key-vault-overview-storage-keys-powershell 

    操作步骤,我已经有一个存储账号,另外我创建了一个key vault,然后执行里面的powershell 到 Set-AzKeyVaultAccessPolicy 向托管账号授予用户权限是,报一下截图错误,根据内容,我在AAD注册了一个kv的应用,并T添加到当前订阅,但仍然报此错误

    所以,我的问题有

    1,这个报错是哪一部分出了问题

    2,这个报错能否实现客户的需求

    3,假若通过此步骤可以自动刷新storage 的key 那么后续放到代码里面的,就是调用kv 的api 即可?客户的开发语言是JAVA 。


    • 已编辑 Tank Tou 2019年5月12日 10:47 未完成提问
    2019年5月12日 10:41

答案

  • Hi Tank Tou,

    如果订阅无异常,建议新建一个与之前的存储账号名称不同名的存储账号进行测试。

    • 已标记为答案 Tank Tou 2019年5月24日 7:56
    2019年5月14日 1:18

全部回复

  • Hi Tank Tou,

    根据报错信息,建议您检查本次测试中登录的订阅是否有误,如果无误,请根据文档建议步骤继续进行存储帐户密钥自动更新策略的设置,并且测试存储帐户密钥是否根据您设置的周期进行了更新。

    如果在 JAVA 语言的开发客户端中使用此策略请参考 storage-java-client-side-encryption

    后续仍有问题欢迎发帖询问。

    2019年5月13日 2:21
  • 我重新建了一个存储账号和kv,但这次的报错是下图,我的账号里面就只有一个订阅,所以觉得十分奇怪。

    2019年5月13日 7:25
  • Hi Tank Tou,

    建议您排查是否使用 PowerShell 正确登录了您的订阅:

    确认使用登录 Azure 账号的命令以后,界面显示了相应的帐户信息与订阅 ID,如图:

    如果并没有正常显示帐户信息,请通过门户点击 【Azure Active Directory】,查看相应用户的密码是否经过更新,再使用更新的密码通过 PowerShell 登录 Azure 订阅。

    2019年5月13日 9:19
  • 我用的是全球版Azure,不太明白这个问题,因为此前没有这个问题,新建了一个存储账号去操作反而出现次问题
    2019年5月13日 14:12
  • Hi Tank Tou,

    如果订阅无异常,建议新建一个与之前的存储账号名称不同名的存储账号进行测试。

    • 已标记为答案 Tank Tou 2019年5月24日 7:56
    2019年5月14日 1:18