Armazenar segredos de nível de aplicativo para Azure Functions no Aplicativos de Contêiner do Azure

Segredos de nível de aplicativo são valores de configuração que seu código de função e associações consomem em tempo de execução. Ao contrário das chaves de acesso do Functions, que protegem pontos de extremidade HTTP, os segredos no nível do aplicativo são as credenciais que seu aplicativo precisa para se conectar a outros serviços.

Exemplos comuns incluem:

  • Infrastructure connections - AzureWebJobsStorage cadeias de conexão, disparadores e conexões de associação para Hubs de Eventos, Barramento de Serviço, Cosmos DB e SQL.
  • Credenciais comerciais – chaves de API de terceiros, senhas de banco de dados, tokens de plataforma SaaS.
  • Configuração personalizada – qualquer valor confidencial que seu código lê de variáveis de ambiente.

Escolher uma opção de armazenamento

Aplicativos de Contêiner do Azure fornece duas maneiras de armazenar segredos no nível do aplicativo:

Opção Mais indicado para Gerenciamento centralizado Rotação automática Log de auditoria
Segredos dos Aplicativos de Contêiner Desenvolvimento/teste, cargas de trabalho simples de aplicativo único Não – com escopo para uma aplicação No Somente logs de atividades
Referências do Key Vault Produção, vários aplicativos, conformidade Sim - em todos os aplicativos Sim (URI sem versão) Diagnóstico de Key Vault completo

Dica

Comece com os segredos dos Container Apps para simplicidade. Use referências do Key Vault quando precisar de gerenciamento centralizado, rotação automática ou auditoria com nível de conformidade.

Pré-requisitos

Usar segredos de Aplicativos de Contêiner

Os Aplicativos de Contêiner armazenam segredos na matriz do configuration.secrets aplicativo e criptografam valores em repouso. Você pode referenciar segredos em variáveis de ambiente, regras de escala, montagens de volume e componentes Dapr.

Armazenar um segredo

  1. Acesse seu aplicativo de contêiner do Functions no Azure portal.

  2. Em Configurações, selecione Segredos.

  3. Selecione Adicionar e insira os seguintes valores:

    Property Valor
    Nome Um nome secreto como database-password. Use apenas letras minúsculas, números e hifens.
    Type Segredo dos Aplicativos de Contêiner
    Valor Seu valor secreto.

  4. Selecione Adicionar.

Referenciar o segredo em uma variável de ambiente

Depois de armazenar um segredo, faça referência a ele em uma variável de ambiente para que seu código de função possa lê-lo.

  1. Em seu aplicativo de contêiner do Functions, em Aplicativo, selecione Revisões e réplicas.

  2. Selecione Criar nova revisão.

  3. Na guia Contêiner , selecione seu contêiner e, em seguida, selecione Editar.

  4. Selecione a guia Variáveis de ambiente e, em seguida, selecione Adicionar.

  5. Insira os valores a seguir:

    Property Valor
    Nome DATABASE_PASSWORD
    Fonte Referenciar um segredo
    Valor database-password

  6. Selecione Salvar e, em seguida, selecione Criar para implantar a nova revisão.

Verifique o segredo

Confirme se sua função pode ler o valor secreto invocando a função e verificando se ela é executada sem erros relacionados à configuração ausente.

curl "https://<FUNCTIONS_APP_URL>/api/<FUNCTION_NAME>"

Importante

Os Aplicativos de Contêiner injetam o valor secreto na variável de ambiente em runtime. Seu código lê a variável de ambiente e não acessa o repositório de segredos diretamente.

Limitações

Os segredos dos Aplicativos de Contêiner têm as seguintes limitações:

  • Sem centralização – cada aplicativo de contêiner armazena seus próprios segredos separadamente.
  • Nenhuma rotação automática – você deve atualizar valores secretos manualmente.
  • Sem expiração – os segredos não expiram automaticamente.
  • Auditoria limitada – somente logs de atividades básicas; não há auditoria detalhada de acesso secreto.
  • Sem controle de versão – sem histórico de versão secreta interno.
  • Comportamento de atualização – alterar um segredo não dispara uma nova revisão. Você deve criar uma nova revisão ou reiniciar as revisões existentes para obter alterações.

Uso de referências do Key Vault

Referências do Key Vault permitem que seu aplicativo de contêiner extraia segredos diretamente do Azure Key Vault usando uma identidade gerenciada. Essa abordagem fornece gerenciamento centralizado, rotação automática e auditoria de nível de conformidade.

Etapa 1: Configurar a identidade gerenciada

Seu aplicativo de contêiner precisa de uma identidade gerenciada para autenticar para Key Vault sem credenciais.

  1. Acesse seu aplicativo de contêiner do Functions no Azure portal.

  2. Em Configurações, selecione Identidade.

  3. Na guia Atribuída pelo sistema , defina Status como Ativado.

  4. Selecione Salvar e selecione Sim para confirmar.

Etapa 2: Conceder acesso Key Vault

Atribua a função Key Vault Secrets User à identidade gerenciada para que ele possa ler segredos.

  1. Vá para o seu Cofre de Chaves no Portal do Azure.

  2. Em Configurações, selecione Controle de acesso (IAM).

  3. Selecione Adicionar>Adicionar atribuição de função.

  4. Na guia Role, selecione Key Vault Secrets User.

  5. Selecione Próximo.

  6. Na guia Membros, selecione Identidade gerenciadae selecione Selecionar membros.

  7. No painel Selecionar identidades gerenciadas , selecione sua assinatura, escolha Aplicativo de Contêiner para o tipo de identidade gerenciada, selecione seu aplicativo de contêiner do Functions e selecione Selecionar.

  8. Selecione Examinar + atribuir.

Etapa 3: armazenar um segredo no Key Vault

  1. Em seu Key Vault, em Objects, selecione Secrets.

  2. Selecione Gerar/Importar.

  3. Insira os valores a seguir:

    Property Valor
    Opções de upload Manual
    Nome Um nome secreto, por exemplo DatabasePassword.
    Valor Seu valor secreto.

  4. Selecione Criar.

  5. Selecione o segredo recém-criado e selecione a versão atual.

  6. Copie o URI do Identificador de Segredo . Use o URI sem versão (sem o segmento de versão à direita) para habilitar a rotação automática.

Etapa 4: Referenciar o segredo do Key Vault em Container Apps

Crie um segredo de Aplicativos de Contêiner que faça referência ao segredo Key Vault e, em seguida, associe-o a uma variável de ambiente.

  1. Vá para seu aplicativo de contêiner do Functions. Em Configurações, selecione Segredos.

  2. Selecione Adicionar.

  3. Em Adicionar segredo, insira os seguintes valores:

    Property Valor
    Nome database-password
    Type Referência do Key Vault
    URL do segredo do Key Vault O URI do Identificador Secreto copiado.
    Identity Atribuído pelo sistema (ou identidade atribuída ao usuário).

  4. Selecione Adicionar.

  5. Em Aplicativo, selecione Revisões e réplicas. Crie uma nova revisão com a variável de ambiente DATABASE_PASSWORD que faz referência ao segredo database-password.

Etapa 5: Verificar a referência de Key Vault

Invoque sua função e confirme que ela é executada sem erros relacionados à configuração ausente.

curl "https://<FUNCTIONS_APP_URL>/api/<FUNCTION_NAME>"

Rotação automática de segredos

Quando você faz referência a um segredo Key Vault com um URI sem versão, os Aplicativos de Contêiner recuperam automaticamente a versão mais recente:

  • URI sem versão: https://myvault.vault.azure.net/secrets/mysecret – sempre usa a versão mais recente.
  • URI com versão: https://myvault.vault.azure.net/secrets/mysecret/ec96f020... – fixado a uma versão específica.

Com URIs sem versão, os Aplicativos de Contêiner verificam novas versões dentro de 30 minutos e reiniciam automaticamente as revisões ativas para obter o novo valor.

Conteúdo relacionado

  • Last updated on