从ARM模板的customData (cloud-init)部分访问密钥库中的密钥
基础概念
ARM(Azure Resource Manager)模板是用于定义和部署Azure资源的JSON文件。customData 是 ARM 模板中的一个部分,用于传递自定义数据到虚拟机。cloud-init 是一个用于初始化云实例的配置工具,支持多种云平台,包括 Azure。
优势
- 灵活性:通过
customData和cloud-init,可以在虚拟机启动时执行自定义脚本和配置。 - 自动化:可以自动化虚拟机的初始化过程,减少手动配置的工作量。
- 安全性:可以通过密钥库安全地传递敏感信息,如密钥。
类型
customData 可以包含多种类型的数据,包括脚本、配置文件和其他初始化数据。cloud-init 支持多种数据源和模块,如 user-data、meta-data 等。
应用场景
- 自动化配置:在虚拟机启动时自动安装软件、配置网络设置等。
- 安全密钥传递:将敏感信息(如 SSH 密钥)安全地传递到虚拟机。
访问密钥库中的密钥
在 ARM 模板中,可以通过 keyVault 资源来引用密钥库中的密钥。以下是一个示例:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"keyVaultName": {
"type": "string",
"metadata": {
"description": "The name of the key vault"
}
},
"keyName": {
"type": "string",
"metadata": {
"description": "The name of the key in the key vault"
}
}
},
"resources": [
{
"type": "Microsoft.Compute/virtualMachines",
"apiVersion": "2021-03-01",
"name": "[variables('vmName')]",
"properties": {
"hardwareProfile": {
"vmSize": "[variables('vmSize')]"
},
"storageProfile": {
"imageReference": {
"publisher": "Canonical",
"offer": "UbuntuServer",
"sku": "18.04-LTS",
"version": "latest"
},
"osDisk": {
"createOption": "FromImage"
}
},
"osProfile": {
"computerName": "[variables('vmName')]",
"adminUsername": "[parameters('adminUsername')]",
"adminPassword": "[parameters('adminPassword')]",
"customData": "[base64(concat('#cloud-config\n', 'runcmd:\n', '- echo \"', parameters('keyVaultId'), '/secrets/', parameters('keyName'), '=$(az keyvault secret show --vault-name ', parameters('keyVaultName'), ' --name ', parameters('keyName'), ' --query value -o tsv)\", >> /etc/environment\n'))]"
},
"networkProfile": {
"networkInterfaces": [
{
"id": "[resourceId('Microsoft.Network/networkInterfaces', variables('nicName'))]"
}
]
}
}
},
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2019-09-01",
"name": "[parameters('keyVaultName')]",
"properties": {
"tenantId": "[subscription().tenantId]",
"sku": {
"family": "A",
"name": "standard"
},
"enabledForDeployment": true
}
}
]
}遇到的问题及解决方法
问题:无法访问密钥库中的密钥
原因:
- 权限问题:虚拟机没有足够的权限访问密钥库。
- 密钥库配置问题:密钥库没有正确配置允许虚拟机访问。
解决方法:
- 检查权限:确保虚拟机的服务主体有权限访问密钥库。可以通过 Azure 门户或 Azure CLI 设置权限。
- 检查权限:确保虚拟机的服务主体有权限访问密钥库。可以通过 Azure 门户或 Azure CLI 设置权限。
- 检查密钥库配置:确保密钥库的
enabledForDeployment属性设置为true。
参考链接
通过以上步骤,您可以在 ARM 模板中通过 customData 和 cloud-init 访问密钥库中的密钥,并解决相关问题。
相关·内容
可以从ARM模板中参数文件的自定义数据(cloud-init)部分中获取密钥库的秘密吗?创建的文件中。可以从cloud-init配置内部调用密钥吗? 如果以上不可能,我可以在我的arm模板中创建一个变量(从密钥</
浏览 53提问于2020-09-13得票数 0
回答已采纳
我试图使用DevOps YAML管道通过ARM部署一套新的资源,到目前为止,一切都很顺利.除了在Azure密钥库中的重要位管理秘密。关于这条管道有几条规定:
密钥库必须通过ARM模板(done )创建ARM模板需要在新的密钥库中存储秘密(完成-我认为不能检查) ARM模板应该
浏览 1提问于2021-06-16得票数 0
我正在尝试创建Azure资源管理器模板,用于几个从密钥库中读取机密的网站。在读取时,文档声明网站ARM模板在创建时应包含以下内容,以便使用密钥库进行身份验证: "type": "SystemAssigned"创建网站后,identity部分将更改为:
浏览 5提问于2020-04-29得票数 0
回答已采纳
我有一个ARM模板,用于创建密钥库。如果我再次运行ARM模板(更改某些设置),我手动设置的访问策略将被删除。我可以使用什么函数或技巧来让ARM模板将ARM模板中的访问策略
浏览 0提问于2021-03-26得票数 0
在我的Azure管道(YAML)中,我部署了一个ARM模板来创建一个密钥库(以及其他资源),然后运行一个PowerShell脚本来生成一个证书并将它存储在密钥库中。这给了我一个Forbidden错误。在中,微软建议我需要在管道服务主体的密钥库上创建一个访问策略。当我这样做的时候,脚本就成功了。现
浏览 7提问于2020-09-29得票数 2
回答已采纳
我创建了一个链接到我的保险库的可变组。
我有一个带有参数的模板的- task: AzureResourceManagerTemplateDeployment如何满足变量组的参数?
浏览 0提问于2020-01-21得票数 2
回答已采纳
在读取Azure Key Vault的秘密值时,我使用以下代码行:"azuretables_sharedkey": { }, }我配置了构建和发布管道,使用Azure DevOps中的“ARM模板部
浏览 1提问于2021-04-07得票数 0
回答已采纳
我想要创建一个Azure密钥库,密钥,和磁盘加密设置通过ARM模板。我知道如何通过门户创建密钥库、密钥和磁盘加密集,但我不理解的是如何引用密钥(比如如何获得具有版本号的keyUrl )和如何让磁盘加密集访问密钥库。在门户中,我通过进入密钥库并提供生成的身份访问</em
浏览 1提问于2021-03-23得票数 0
1回答
我正在尝试在Azure Devops中进行ARM部署,从而将密钥库访问策略添加到Azure中现有的密钥库。我想使用以下ARM模板,该模板将访问策略添加到现有的密钥库:https://github.com/Azure/azure-quickstart-templates/tree/master/1
浏览 23提问于2020-01-03得票数 0
回答已采纳
2回答
ARM模板循环依赖问题
、、、、
我在一个ARM模板中有两个相互依赖的Azure资源:一个密钥库和一个服务fabric集群。
对于密钥库,我需要在密钥库的访问策略中引用服务结构集群的对象ID,以授予它访问机密的权限。对于服务fabric集群,我需要它引用来自密钥库的秘密。在部署期间,这两种资源都不存在。是否有
浏览 0提问于2020-04-24得票数 1
2回答
我遵循了有关如何在arm模板中访问密钥库秘密的教程。我用静态和动态的密钥库id尝试了这两种方法,我让它们都能工作。奇怪的是,动态id方法需要设置大量的样板(需要嵌套模板)。在静态id方法中,您需要在模板参数文件中指定: "reference&qu
浏览 2提问于2020-12-29得票数 0
我正在尝试从Octopus Deploy在自动化过程中部署Azure Service Fabric Cluster。部署新集群的过程的一部分涉及创建Azure密钥库,并使用特定于该集群的证书和其他秘密填充它。
我有一个ARM模板来部署Key Vault,另一个模板来部署集群。我发现秘密(通常)可以作为ARM模板的一部分部署到Azure密钥
浏览 0提问于2016-10-23得票数 2
我有一个ARM模板,创建一个KeyVault,Azure函数应用程序,并分配访问策略,授予对该函数应用程序的访问权限。一旦部署了ARM模板,我就调用az cli在函数中添加一个设置,并引用KV秘密。在这样做时,引用无法解析诊断报告:
未能解析密钥库引用,因为找不到密钥库。请使用有效的密钥库使用密钥库</
浏览 0提问于2021-02-01得票数 0
回答已采纳
1回答
我们有一个主密钥库,其中应该包含向某些服务主体进行身份验证的证书(每个环境1个SP )。这些服务主体可以访问他们的个人密钥库。我们使用密钥来存储证书。然而,“密钥”似乎更适合存储证书,因为密钥可以自己生成证书。对吗?
现在,我们的VSTS服务主体部署一个ARM模板,并将正确的证书放入web应用程序服务的证书存储中</em
浏览 8提问于2017-02-10得票数 2
回答已采纳
我正在尝试在我的资源中加入一些额外的安全功能,比如使用客户管理的密钥进行加密。对于Service Bus,这需要Service Bus创建托管身份并授予对密钥库的访问权限。在我的ARM模板中,我需要在没有加密的情况下初始化Service Bus,以便获得托管标识,授予该标识对密钥库的访问权限,
浏览 4提问于2021-03-26得票数 1
回答已采纳
1回答
我们需要为访问Office 365实例创建一个函数应用程序。访问使用的是证书身份验证。因此,我们将证书上传到Azure密钥库,并需要从密钥库导入证书。
正如上面提到的,我们能够在关键库中创造新的秘密。但是,我们没有在证
浏览 6提问于2022-01-24得票数 0
2回答
我正在尝试创建一个ARM模板,它可以在Azure中使用透明数据加密(TDE)部署SQL Enterprise VM,利用Key Vault作为EKM。我已经找到了如何通过Key Vault启用TDE的示例,包括和,但在这两种情况下,它们都只需要Key Vault URL和访问凭证(AppID和Secret)。由于没有提供现有的秘密URL,这似乎意味着驻留在EKM (密钥库)中的非对称密钥将由部署过程创建,这对于生产工作负载是不好<em
浏览 0提问于2016-02-29得票数 1
我在arm模板中为我的密钥库分配资源策略,一切正常工作,直到我想为应用服务的部署时间分配策略。应用程序服务的插槽已经创建,但是在我分配访问权限的arm模板(即授予访问密钥库的时隙权限)中,我使用它获取资源id: &qu
浏览 1提问于2021-03-01得票数 2
回答已采纳
我在网上搜索过帮助,但在这个特定的问题上几乎什么都没有。我的用例是,我需要创建一个ARM模板,将访问策略添加到一个资源组中现有的Azure密钥库中,但将VM部署到另一个资源组中。我可以部署VM,为它们分配托管服务标识(MSI),并为已经存在的密钥库将这些MSI添加到accessPolicy中,所有这些都是相同的ARM</
浏览 0提问于2018-02-09得票数 3
我正在构建一个arm模板,部署一个web应用程序、sql数据库和一个关键库。1-系统标识(将用于访问密钥库)。/connectionString’))1-上述网络应用程序的访问策略。2-包含连接字符串的秘密(在部署过程中在管道中构造)。
webapp需要在密钥库</e
浏览 1提问于2021-09-02得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
