Azure.Security.KeyVault.Secrets 中的 Azure.RequestFailedException

Question

我开发了一项在 Azure 虚拟机规模集中运行的服务，该服务可从 Azure Key Vault 访问配置。最近，在调试此服务时，我在访问配置时开始收到 RequestFailedException 。

在 Azure 中， key 保管库是通过具有适当权限的用户分配的托管标识来访问的。该服务目前在 Azure 中运行良好，但我无法在本地进行调试。我在 Visual Studio 2019 版本 16.8.6 的 Azure 服务身份验证配置部分中选择了我的 Azure 帐户，并且此帐户具有 Key Vault 的权限(已配置为允许从所有网络进行访问)。

以下代码片段显示了我如何在 上使用 Azure Identity 1.2.2 和 Azure.Security.KeyVault.Secrets 4.1.0 访问 key 保管库.NET Core 3.1平台:

private const string KeyVault = "https://<key vault name>.vault.azure.net/";

var client = new SecretClient(new Uri(KeyVault), new DefaultAzureCredential());
var secret = client.GetSecret("<name of secret in key vault>");

显然，DefaultAzureCredential 使用 VisualStudioCredential 来解析访问权限，但这在某种程度上被 Visual Studio 的更新所破坏(自上次成功调试 session 以来唯一发生的变化) )或者可能是 Azure Key Vault 的策略发生变化。

完全异常

Exception thrown: 'Azure.RequestFailedException' in Azure.Security.KeyVault.Secrets.dll
An unhandled exception of type 'Azure.RequestFailedException' occurred in Azure.Security.KeyVault.Secrets.dll
Service request failed.
Status: 403 (Forbidden)

Content:
{"error":{"code":"Forbidden","message":"Access denied to first party service.\r\nCaller: name=from-infra;tid=<redacted>;appid=<redacted>;iss=https://sts.windows.net/<appid>/\r\nVault: <key vault name>;location=australiaeast","innererror":{"code":"AccessDenied"}}}

升级库

我将 Azure.Identity 库升级到版本 1.3.0。这产生了更详细的异常:

Microsoft.Extensions.Configuration.AzureAppConfiguration.KeyVaultReferenceException: SharedTokenCacheCredential authentication failed: AADSTS9002332: Application 'cfa8b339-82a2-471a-a3c9-0fc0be7a4093'(Azure Key Vault) is configured for use by Azure Active Directory users only.

完整的异常在this question中描述。 。似乎 DefaultAzureCredential 正在尝试使用 SharedTokenCacheCredential。我更新了代码以显式禁用共享 token 缓存凭据:

private const string KeyVault = "https://<key vault name>.vault.azure.net/";

var options = new DefaultAzureCredentialOptions { ExcludeSharedTokenCacheCredential = true };
var client = new SecretClient(new Uri(KeyVault), new DefaultAzureCredential(options));

然而，这会产生如上所述的原始异常。所接受的链接问题的答案将租户 ID、客户端 ID 和用户 key 编码到应用程序中，这是我不愿意做的。 Example documentation使用备用库 Microsoft.Azure.Services.AppAuthentication 和 Microsoft.Azure.KeyVault。

我的服务在 Azure 中运行良好。我想在本地调试它，就像几个月前一样。有什么我可以做的吗？

Answer 1

要在不硬编码 secret 的情况下解决此问题，请禁用 Visual Studio 身份验证凭据并使用备用身份验证方法。

就我而言，我使用了AzureCliCredential。首先，我使用有权访问 Key Vault 的帐户登录开发环境中的 Azure(与 Visual Studio 的“Azure 服务身份验证”配置中选择的帐户相同):

az login

然后我更新了代码，以使用 DefaultAzureCredential 并禁用 VisualStudioCredential，或者使用 ChainedTokenCredential 选择适当的方法:

var options = new DefaultAzureCredentialOptions { ExcludeVisualStudioCredential = true };
var client = new SecretClient(new Uri(KeyVault), new DefaultAzureCredential(options));

或者:

var credentials = new ChainedTokenCredential(new ManagedIdentityCredential(...), new AzureCliCredential());
var client = new SecretClient(new Uri(KeyVault), credentials);

我认为这是 Visual Studio 的一个错误，并且已记录问题。