Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Verschlüsseln der ruhenden Anwendungsdaten Ihrer Web-App erfordert ein Azure Storage-Konto und Azure Key Vault. Diese Dienste werden verwendet, wenn Sie Ihre App über ein Bereitstellungspaket ausführen.
- Azure Storage bietet ruhende Verschlüsselung. Sie können vom System bereitgestellte Schlüssel oder Eigene vom Kunden verwaltete Schlüssel verwenden. Azure Storage ist der Ort, an dem Ihre Anwendungsdaten gespeichert werden, wenn sie nicht in einer Web-App in Azure ausgeführt werden.
- Das Ausführen aus einem Bereitstellungspaket ist eine Bereitstellungsfunktion von App Service. Sie können Ihre Websiteinhalte über ein Azure Storage-Konto mithilfe einer SAS-URL (Shared Access Signature) bereitstellen.
- Key Vault-Verweise sind eine Sicherheitsfunktion von App Service. Es ermöglicht Ihnen, Geheimnisse zur Laufzeit als Anwendungseinstellungen zu importieren. Verwenden Sie dieses Feature, um die SAS-URL Ihres Azure Storage-Kontos zu verschlüsseln.
Verschlüsselung im Ruhezustand einrichten
Erstellen eines Azure Storage-Kontos
Erstellen Sie zunächst ein Speicherkonto.
Erstellen Sie ein Azure Storage-Konto , und verschlüsseln Sie es mit vom Kunden verwalteten Schlüsseln. Nachdem das Speicherkonto erstellt wurde, verwenden Sie Azure Storage-Explorer , um Paketdateien hochzuladen.
Verwenden Sie den Speicher-Explorer, um ein SAS für die Paketdateien zu generieren.
Hinweis
Speichern Sie diese SAS-URL. Sie verwenden es später, um den sicheren Zugriff auf das Bereitstellungspaket zur Laufzeit zu aktivieren.
Konfigurieren der Ausführung aus einem Paket aus Ihrem Speicherkonto
Nachdem Sie Die Datei in Blob Storage hochgeladen haben und über eine SAS-URL für die Datei verfügen, legen Sie die WEBSITE_RUN_FROM_PACKAGE Anwendungseinstellung auf die SAS-URL fest. Im folgenden Beispiel wird diese Einstellung mithilfe der Azure CLI konfiguriert:
az webapp config appsettings set --name <app-name> --resource-group <resource-group-name> --settings WEBSITE_RUN_FROM_PACKAGE="<your-SAS-URL>"
Wenn Sie diese Anwendungseinstellung hinzufügen, wird die Web-App neu gestartet. Navigieren Sie nach dem Neustart der App zu der App, und stellen Sie sicher, dass die App mit dem Bereitstellungspaket ordnungsgemäß gestartet wurde. Wenn die Anwendung nicht ordnungsgemäß gestartet wurde, lesen Sie die Anleitung zur Problembehandlung beim Ausführen aus einem Paket.
Verschlüsseln der Anwendungseinstellung mithilfe von Key Vault-Verweisen
Sie können nun den Wert der WEBSITE_RUN_FROM_PACKAGE Anwendungseinstellung durch einen Key Vault-Verweis auf die SAS-codierte URL ersetzen. Dadurch wird die SAS-URL im Key Vault verschlüsselt, um eine zusätzliche Sicherheitsebene bereitzustellen.
Verwenden Sie den folgenden
az keyvault createBefehl, um eine Key Vault-Instanz zu erstellen.az keyvault create --name "Contoso-Vault" --resource-group <group-name> --location eastusBefolgen Sie die Anweisungen, um Ihrer App Zugriff auf Ihr Key Vault zu gewähren:
Verwenden Sie den folgenden
az keyvault secret setBefehl, um Ihre externe URL als geheimer Schlüssel in Ihrem Schlüsseltresor hinzuzufügen:az keyvault secret set --vault-name "Contoso-Vault" --name "external-url" --value "<SAS-URL>"Verwenden Sie den folgenden
az webapp config appsettings setBefehl, um dieWEBSITE_RUN_FROM_PACKAGEAnwendungseinstellung mit dem Wert als Key Vault-Verweis auf die externe URL zu erstellen:az webapp config appsettings set --settings WEBSITE_RUN_FROM_PACKAGE="@Microsoft.KeyVault(SecretUri=https://Contoso-Vault.vault.azure.net/secrets/external-url/<secret-version>"
Das
<secret-version>befindet sich in der Ausgabe des davorgehendenaz keyvault secret setBefehls.
Durch das Aktualisieren dieser Anwendungseinstellung wird die Web-App neu gestartet. Nachdem die App neu gestartet wurde, navigieren Sie zu der App, und stellen Sie sicher, dass die App ordnungsgemäß mit dem Schlüsseltresorverweis gestartet wurde.
So drehen Sie das Zugriffstoken
Es empfiehlt sich, den SAS-Schlüssel Ihres Speicherkontos regelmäßig zu drehen. Um sicherzustellen, dass die Web-App keinen Zugriff verliert, müssen Sie auch die SAS-URL im Key Vault aktualisieren.
Drehen Sie den SAS-Schlüssel, indem Sie im Azure-Portal zu Ihrem Speicherkonto wechseln. Wählen Sie unter "Sicherheit +>" das Symbol aus, um den SAS-Schlüssel zu drehen.
Kopieren Sie die neue SAS-URL, und verwenden Sie den folgenden Befehl, um die aktualisierte SAS-URL in Ihrem Schlüsseltresor festzulegen:
az keyvault secret set --vault-name "Contoso-Vault" --name "external-url" --value "<SAS-URL>"Aktualisieren Sie den Key Vault-Verweis in der Anwendungseinstellung auf die neue Geheimnisversion:
az webapp config appsettings set --settings WEBSITE_RUN_FROM_PACKAGE="@Microsoft.KeyVault(SecretUri=https://Contoso-Vault.vault.azure.net/secrets/external-url/<secret-version>"Der
<secret-version>ist in der Ausgabe des vorherigen Befehlsaz keyvault secret setverfügbar.
So widerrufen Sie den Datenzugriff der Web-App
Es gibt zwei Methoden zum Widerrufen des Zugriffs der Web-App auf das Speicherkonto.
Drehen des SAS-Schlüssels für das Azure Storage-Konto
Wenn der SAS-Schlüssel für das Speicherkonto gedreht wird, hat die Web-App keinen Zugriff mehr auf das Speicherkonto, wird aber weiterhin mit der letzten heruntergeladenen Version der Paketdatei ausgeführt. Starten Sie die Web-App neu, um die letzte heruntergeladene Version zu löschen.
Entfernen des Zugriffs der Web-App auf Key Vault
Sie können den Zugriff der Web-App auf die Websitedaten widerrufen, indem Sie den Zugriff der Web-App auf Key Vault deaktivieren. Um diesen Zugriff zu deaktivieren, entfernen Sie die Rollenzuweisungs- oder Zugriffsrichtlinie für die Identität der Web-App. Diese Identität ist die Identität, die Sie beim Einrichten der Verschlüsselung erstellt haben.
Zusammenfassung
Ihre Anwendungsdateien werden jetzt im Ruhezustand in Ihrem Speicherkonto verschlüsselt. Wenn Ihre Web-App gestartet wird, ruft sie die SAS-URL aus Ihrem Schlüsseltresor ab. Schließlich lädt die Web-App die Anwendungsdateien aus dem Speicherkonto.
Wenn Sie den Zugriff der Web-App auf Ihr Speicherkonto widerrufen müssen, können Sie entweder den Zugriff auf den Schlüsseltresor widerrufen oder die Speicherkontoschlüssel drehen. Beide Aktionen ungültigen die SAS-URL.
Häufig gestellte Fragen
Gibt es zusätzliche Gebühren für die Ausführung meiner Web-App aus dem Bereitstellungspaket?
Nur die Kosten, die dem Azure Storage-Konto zugeordnet sind, und alle anwendbaren Ausstiegsgebühren.
Wie wirkt sich die Ausführung aus dem Bereitstellungspaket auf meine Web-App aus?
- Wenn Sie Ihre App aus dem Bereitstellungspaket ausführen, wird
wwwroot/schreibgeschützt. Ihre App erhält eine Fehlermeldung, wenn versucht wird, in dieses Verzeichnis zu schreiben. - TAR- und gzip-Formate werden nicht unterstützt.
- Dieses Feature ist nicht mit dem lokalen Cache kompatibel.