Я использую пользовательский интерфейс портала Azure для создания виртуальной машины Windows в Azure. Я создал секретный adminpass
в хранилище ключей Azure, который указывает пароль администратора для создаваемой виртуальной машины.
Когда дело доходит до использования этого adminpass
секрета при создании виртуальной машины, существуют руководства, в которых описывается, как это сделать, если вы создаете виртуальную машину с использованием шаблона ARM: Безопасное развертывание виртуальной машины Azure с паролем локального администратора из Azure Key Vault, а не в шаблоне ARM
Но как я могу использовать этот секрет хранилища ключей, если я создаю виртуальную машину с помощью пользовательского интерфейса портала Azure? Это возможно?
И есть ли какие-либо преимущества (кроме безопасности) в указании пароля как секретного вместо необработанного текста? Я имею в виду, если мы добавим учетные записи пользователей Windows в KeyVault, возможно ли, что мы сможем легко изменить или отозвать доступ к виртуальной машине при необходимости?
РЕДАКТИРОВАТЬ:
Связан ли секрет KeyVault напрямую с виртуальной машиной? Я имею в виду, что если я изменю секретное значение пароля виртуальной машины в KeyVault, это не приведет к автоматическому изменению пароля виртуальной машины просто потому, что она использовала секрет во время развертывания. Что на самом деле произойдет, так это то, что приложения, которые читают хранилище ключей для получения учетных данных для аутентификации на виртуальной машине, получат неправильные учетные данные, и аутентификация завершится ошибкой. Верно?
Вот 2 сценария развертывания:
Создайте виртуальную машину через пользовательский интерфейс портала Azure, указав там имя пользователя и пароль администратора, а после развертывания виртуальной машины просто добавив учетные данные в секретный ключ хранилища, чтобы другие приложения могли их использовать.
Сначала добавьте учетные данные в секрет Keyvault, а затем разверните виртуальную машину с помощью шаблонов ARM, которые используют этот секрет для чтения учетных данных администратора виртуальной машины.
Я просто хочу убедиться, что в обоих случаях секрет keyvault предназначен для использования другими приложениями, которые хотят аутентифицировать виртуальную машину. И, с точки зрения виртуальной машины, он считывает хранилище ключей только при создании виртуальной машины. Я здесь прав?