Gestion des changements de rotation des secrets KeyVault utilisés par une fonction Azure - Exemples de code (2023)

• Exemple de code
• 22/04/2022

Cet exemple présente une façon de gérer lorsqu'un secret KeyVault utilisé par votre fonction Azure est « roulé » ou mis à jour dans le cadre d'opérations de sécurité normales dans vos organisations.

En règle générale, les organisations exigent que tous les secrets, clés, etc. soient stockés dans KeyVault et mis en rotation à la demande (en cas de violation) ou dans le cadre d'une politique de routine.

Dans ces cas, votre fonction Azure peut également utiliser ces secrets KeyVault, notamment viaParamètres d'application Références KeyVault. Dans ce scénario, la fonction Azure doit recevoir l'instruction de « réextraire » la valeur du secret KeyVault pour obtenir la valeur mise à jour. Dans cet exemple, vous apprendrez comment cela peut être fait en utilisant une combinaison d'Event Grid et d'applications logiques.

L'approche

• Lorsqu'un secret KeyVault est mis à jour, il émet unNouvelleVersionSecrèteévénement aux abonnés de laMessages de la grille d'événements de Key Vault.
• Pour traiter ces messages, Logic Apps peut être connecté en tant qu'abonné à l'instance KeyVault, et même filtrer ce type de message.
• Utilisation des fonctions Azure'API REST de configurationmettre à jour la référence KeyVault pour pointer vers la version secrète nouvellement créée oblige l'hôte à redémarrer et à réévaluer le paramètre de l'application. La nouvelle valeur du secret sera alors reflétée dans l'exécution de la fonction.

La mise en oeuvre

Dans cet exemple, nous déployons deux instances Application Insights différentes. La clé d'instrumentation de la première instance est placée dans un secret KeyVault et la fonction Azure utilise une référence KeyVault commeAPPINSIGHTS_INSTRUMENTATIONKEYréglage de l'application. La liaison de la fonction Azure est un déclencheur de minuterie qui s'exécute toutes les ~5 secondes et publie simplement un message avec l'heure UTC actuelle sur l'instance Application Insights à laquelle il communique.

Lorsque nous remplaçons la valeur du secret KeyVault par la clé d'instrumentation de la deuxième instance d'Application Insights, vous verrez l'événement se déclencher sur l'application logique, et l'application logique mettra à jour le paramètre d'application sur la fonction Azure. En ayant l'onglet Live Stream pour les deux instances d'Application Insights ouvertes en même temps, vous pouvez voir l'une cesser de recevoir des messages tandis que l'autre commence à les recevoir. Ceci complète la séquence d'événements déclenchés en modifiant simplement la valeur secrète dans KeyVault.

Déploiement de l'exemple

Le déploiement de cet exemple utiliseTerraforme, et est livré prêt à l'emploi avec unConteneur de développement de code Visual Studiopour vous assurer que vous disposez de tout ce dont vous avez besoin pour effectuer le déploiement. Si c'est la première fois que vous utilisez un conteneur de développement, assurez-vous de parcourirles étapes d'installationpour vous assurer d'avoir tout ce dont vous avez besoin.

1. Cloner le dépôt

Clonez ce référentiel, ou votre propre fork, sur votre ordinateur local.

2. Ouvrez l'espace de travail dans son conteneur

Lorsque vous y êtes invité par Visual Studio Code, rouvrez l'espace de travail dans son conteneur de développement. Cela peut prendre quelques minutes pour installer toutes les couches de conteneur et vous amener à une invite bash. Assurez-vous que Docker est en cours d'exécution ;)

3. Connectez-vous à Azure CLI

Dans le terminal bash de VS Code, émettez leconnexion azcommande etaz account set --subscription pour vous connecter à Azure et cibler l'abonnement dans lequel vous souhaitez déployer l'exemple.

4. Créer un principal de service

Pour rendre le déploiement de l'application logique entièrement autonome et lui permettre de s'authentifier auprès d'Event Grid sans flux OAuth, vous allez créer un principal de service sur votre abonnement Azure en émettant leaz ad sp créer-pour-rbaccommande. Une fois cette opération terminée, vous obtiendrez une sortie qui ressemble à ceci :

{ "appId": "...", "displayName": "...", "name": "...", "password": "...", "locataire": "..." }

Sauver laID d'applicationetmot de passechamps de cette sortie pour l'étape suivante

5. Déployer via Terraform

Dans la fenêtre du terminal de VSCode, lancez les commandes suivantes :

cd terraformterraform apply -var prefix= -var sp_client_id= -var sp_client_secret=

Cela affichera d'abord toutes les modifications qui seront apportées à votre abonnement Azure dans le cadre du déploiement de Terraform, et attendra que vous tapiez "oui" pour que l'application ait lieu. Pour cet exemple, les ressources suivantes sont déployées :

• Un nouveau groupe de ressources nommé `serverless-sample-' contenant :
• Connexion de l'API Logic Apps à Event Grid
• 2 instances Application Insights
• Coffre à clés
• Plan de service d'application de consommation
• Fonction Azure
• Application logique
• Espace de travail Log Analytics
• Compte de stockage

Tapez "oui" et Terraform fonctionnera sa magie.

6. Ajoutez le paramètre d'application pour le secret Application Insights KeyVault à l'application de fonction

Une sortie de Terraform est un script de déploiement que vous devez exécuter afin de remplir le paramètre d'application de l'application de fonction pour Application Insights ainsi que de déployer réellement le code de fonction. Dans votre fenêtre de terminal bash VSCode, exécutez simplement

./deploy_app.sh

Remarque : Vous devrez peut-être actualiser les fichiers dans le panneau de l'explorateur dans VS Code pour voir le fichier généré.deploy_app.shdéposer sousterraformerdossier.

duterraformer/répertoire dans lequel vous vous trouvez après l'exécutionterraform appliquer.

Remarque : nous ne pouvons pas (encore) définir la valeur APPINSIGHTS_INSTRUMENTATIONKEY via Terraform, car elle effacera tous les autres paramètres d'application si nous déployons via le modèle ARM, et il existe une condition de concurrence entre l'application de fonction et KeyVault si nous essayons de l'intégrer dans le cadre du déploiement de la Function App. Dans un scénario de production, cela serait fait dans le cadre du pipeline DevOps utilisé pour exécuter le plan Terraform. De même, le pipeline DevOps créerait et déploierait l'application Function.

7. Observez le résultat

La fonction Azure

Dans votre portail, accédez à la fonction Azure nouvellement créée. Son nom sera le-serverless-functionappvaleur que vous avez mise lors du déploiement de Terraform.

Il y a quelques choses à remarquer :

• L'application Function a une fonction :Minuterie5sec
  
• SousConfigurationvous trouverez la référence Application Setting KeyVault pourAPPINSIGHTS_INSTRUMENTATIONKEY
  
  \

Remarque : Il est important de noter lemanqued'un spécificateur de version secret dans l'URL. En utilisant cette méthode, nous récupérons toujours la dernière version du secret, permettant le comportement souhaité. Vous pouvez également créer un processus quimises à jourleAPPINSIGHTS_INSTRUMENTATIONKEYparamètre d'application avec l'URL qui apparaît dans le cadre de l'événement Event Grid pourNouvelleVersionSecrète.

Remarquez leStatutmarqueur sur la référence ; cela vous indique que la connexion entre l'application Function et KeyVault est bonne, et qu'elle est capable d'extraire la valeur de KeyVault comme prévu

• Dans la zone IAM (contrôle d'accès) de l'application de fonction, sous affectations de rôle, vous trouverez une entrée pour l'application logique.

Cela existe pour donner à l'application logique les autorisations nécessaires pour émettre la demande de réinitialisation logicielle à l'application de fonction. Sans cela, la demande d'API REST Azure effectuée par l'application logique reçoit un403 INTERDITréponse.

Le lien entre l'application logique et la fonction Azure est réalisé par cette partie dansmain.tf:

################################################# ################################# Affectation des rôles############### ################################################# #################ressource "azurerm_role_assignment" "laToFunction" { scope = azurerm_function_app.fxn.id role_definition_name = "Contributeur du site Web" principal_id = azurerm_template_deployment.logicapp.outputs["logicAppServicePrincipalId"] }

et le fait que l'application logique a été créée avec une identité de service géré qui lui est attribuée dans le cadre du déploiement de son modèle ARM :

"identity": { "type": "SystemAssigned"},

• L'application de fonction elle-même a une identité de service gérée :

Cela fait partie de la configuration de la fonction Azure pour utiliser les références KeyVault et permet à KeyVault de restreindre l'accès aux clés, secrets et autres éléments à certaines identités uniquement. Cet accès est appliqué par cette partie de notre déploiement Terraform :

# stratégie d'accès pour la fonction azur access_policy { object_id = azurerm_function_app.fxn.identity[0].principal_id tenant_id = data.azurerm_client_config.current.tenant_id secret_permissions = [ "get", ] }

qui garantit que même si quelqu'un devait soumettre un code de fonction qui tentait de modifier une valeur dans le KeyVault, cela ne serait pas autorisé ; la fonction n'a que les autorisations "Get Secret", c'est tout ce dont elle a besoin.

L'application logique

Dans votre portail, accédez à l'application logique nouvellement créée. Son nom sera-sans serveur-laoùest la valeur que vous mettez lors du déploiement de Terraform.

Logique d'exécution

Cliquez surConcepteur d'applications logiquesdans la partie gauche du panneau afin que vous puissiez voir la surface de conception de l'application logique.

Cliquer sur la barre de titre de chaque bloc dans l'application logique développera son contenu pour ressembler à ceci :

Examinons chaque bloc de Logic.

1. Ce bloc câble ledéclencherde l'application logique. Lorsque nous le créons via le déploiement de modèles ARM dans Terraform, il demande automatiquement un abonnement Event Grid à la ressource indiquée dansNom de la ressourceet écoute le type d'événement indiqué dansÉlément de type d'événement - 1. Le déclencheur de l'application logique prend en charge l'événement Event Grid Subscription Validation afin que tout puisse communiquer sans problème.

2. Dans le cadre de notre Terraform, nous remplissons la valeur de cette variable d'application logique avec les noms secrets que nous avons mis dans KeyVault.

3. Nous utilisons cette instruction "si" (alias bloc de condition) pour dire "si le sujet de l'événement que nous avons obtenu (qui correspond au nom du secret qui a déclenché leNouvelleVersionSecrèteévénement) est dans notrekeysToWatchvariable de tableau" afin que nous puissions ignorer les modifications apportées aux autres secrets dans le même coffre.

4. Ici, nous utilisons l'API Azure REST pour obtenir la liste des paramètres d'application actuels pour l'application de fonction, car lorsque nous mettons à jour, nous devons donnertousles valeurs de réglage de l'application, pas seulement celles qui ont été modifiées.

5. Nous analysons la réponse duOBTENIRappeler et émettre leMETTREappel aux paramètres lors de l'utilisation de Logic AppssetPropertyfonction pour régler la valeur de laAPPINSIGHTS_INSTRUMENTATIONKEYréglage à la nouvelle valeur.

Vous remarquerez que les deux appels REST utilisent l'authentification Managed Identity en prenant l'identité que nous avons attribuée à l'application logique, et le rôle d'accès utilisateur indiqué précédemment qui aContributeur de site Webaccès à l'application de fonction. Si ce rôle d'accès utilisateur est manquant, ce bloc de l'application logique échouera.

Configuration

La partie importante de la configuration de l'application logique est que notre déploiement Terraform lui a attribué une identité gérée. Vous pouvez voir cela dans leIdentitézone de l'application logique :

Coffre à clés

Dans votre portail, accédez au coffre de clés nouvellement créé. Son nom sera le-sans serveur-kvvaleur que vous avez mise lors du déploiement de Terraform.

Les éléments importants du coffre de clés pour cet exemple sont lesÉvénementsetPolitiques d'accèszone

Configuration des événements

Précédemment, vous avez vu le déclencheur Logic App Event Grid configuré pour recevoir des événements de la ressource Key Vault. Lorsque Logic App est déployé avec ce connecteur en place, il crée automatiquement l'abonnement Event Grid à partir de l'instance Key Vault. Clique leÉvénementszone de votre KeyVault et notez leAbonnementszone près du bas :

Ici, vous voyez que l'application logique s'est enregistrée en tant que récepteur de webhook pour les événements du KeyVault.

Politiques d'accès

Pour que la Function App puisse lire les valeurs des secrets Key Vault, rappelez-vous, notre Terraform lui a accordé cette autorisation dans la configuration du KeyVault. Vous pouvez le voir dans la zone Stratégies d'accès :

Rassembler le tout

Si vous ouvrez le flux en direct pour la première instance d'Application Insights (avec le-d'abordsuffixe), vous verrez la fonction enregistrer joyeusement les messages toutes les 5 secondes environ :

Passer à Application Insights secondaire (avec le-deuxièmesuffixe), vous verrez probablement un écran comme celui-ci :

Mais si vous prenez la clé d'instrumentation de l'instance secondaire et mettez à jour le secret KeyVaultappinsights-instrumentationkeyavec elle, vous verrez ce comportement changer à mesure que l'événement se propage dans le système et l'application de fonction est réinitialisée en douceur pour récupérer la nouvelle valeur de KeyVault !