2

我目前的设置:

我的 DevOps 人员创建了一个用户托管标识并将其添加到 Azure 密钥保管库的访问策略中。
我已经创建了一个函数应用程序testing-01并在平台设置下为其分配了 User-ManagedIdentity。
我使用 Python 3.6 作为运行时语言。

这是我用来检查是否能够从密钥保管库访问机密的辅助方法。我正在回复它的回应。

def cred_checker():
    credential = ManagedIdentityCredential()
    # credential = ManagedIdentityCredential(client_id='client_id 
    vault_name= "myvault"
    client = SecretClient(vault_url=f"https://{vault_name}.vault.azure.net/", credential=credential)
    username = client.get_secret(name="username")
    password= client.get_secret(name="password")

    return f"AKV client created successfully {client} .<br> name: {username},<br> pass: {password} "

我能够毫无错误地创建客户端。但是当我尝试从中获取秘密时,我得到了这个 ClientAuthenticationError :

Exception while executing function: Functions.HttpTriggerFunc <--- Result: Failure Exception: ClientAuthenticationError: Unexpected response '{'statusCode': 400, 'message': 'Unable to load requested managed identity.', 'correlationId': '92daf146-fed2-4a75-8359-9r955939815e'}'
4

2 回答 2

3

当您使用用户分配的身份时,您需要client_idManagedIdentityCredential().

credential = ManagedIdentityCredential(client_id="xxxxxxxx")

要获取. client_id_ Identity_User assignedclient_id

在此处输入图像描述

于 2019-11-11T02:31:48.270 回答
0

以下是在 python 中使用托管身份的方法:

from msrestazure.azure_active_directory import MSIAuthentication
creds = MSIAuthentication()
client = SecretClient(vault_url=MyVaultUrl, credentials=creds)

但是,要使其正常工作,您必须将身份分配给您的 azure 功能作为部署的一部分。如果您使用的是 terraform,则可以使用一个提供程序,它接受一个身份 {} 块,您可以在其中指定 type="UserAssigned" 和 identity_ids = ["id1", "id2",...]

于 2020-04-15T23:17:31.523 回答