Hantera hemligheter i Azure Container Apps

Azure Container Apps gör att programmet kan lagra känsliga konfigurationsvärden på ett säkert sätt. När hemligheter har definierats på programnivå är skyddade värden tillgängliga för revisioner i dina containerappar. Dessutom kan du referera till skyddade värden i skalningsregler. Information om hur du använder hemligheter med Dapr finns i Dapr-integrering.

Hemligheter är begränsade till en applikation, utanför specifika versioner av en applikation.
Nya revisioner genereras inte genom att lägga till, ta bort eller ändra hemligheter.
Varje programrevision kan referera till en eller flera hemligheter.
Flera revisioner kan referera till samma hemligheter.

En uppdaterad eller borttagen hemlighet påverkar inte automatiskt befintliga revisioner i din app. När en hemlighet uppdateras eller tas bort kan du hantera ändringar på något av två sätt:

Distribuera en ny revision.
Starta om en befintlig revision.

Innan du tar bort en hemlighet måste du distribuera en ny revision som inte längre refererar till den gamla hemligheten. Inaktivera sedan alla revisioner som refererar till hemligheten.

Definiera hemligheter

Hemligheter definieras som en uppsättning namn/värde-par. Värdet för varje hemlighet anges direkt eller som en referens till en hemlighet som lagras i Azure Key Vault.

Anmärkning

Undvik att ange värdet för en hemlighet direkt i en produktionsmiljö. Använd i stället en referens till en hemlighet som lagras i Azure Key Vault, enligt beskrivningen i avsnittet Store secret i avsnittet Container Apps.

Lagra hemligt värde i Container Apps

Följande används när du definierar hemligheter via portalen eller via olika kommandoradsalternativ.

Gå till containerappen i Azure-portalen.
Under avsnittet Säkerhet väljer du Hemligheter.
Välj Lägg till.
I fönstret Lägg till hemlig kontext anger du följande information:
- Namn: Namnet på hemligheten.
- Typ: Välj Container Apps Secret.
- Värde: Värdet för hemligheten.
Välj Lägg till.

Hemligheter definieras på programnivå i resources.properties.configuration.secrets avsnittet .

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "value": "<MY-CONNECTION-STRING-VALUE>"
            }],
        }
    }
}

Här deklareras en anslutningssträng till ett kölagringskonto i arrayen secrets. I det här exemplet ersätter du <MY-CONNECTION-STRING-VALUE> med värdet för din reťazec pripojenia.

När du skapar en containerapp definieras hemligheter med hjälp av parametern --secrets .

Parametern accepterar en utrymmesavgränsad uppsättning namn/värde-par.
Ett likhetstecken (=) avgränsar varje par.

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --secrets "queue-connection-string=<CONNECTION_STRING>"

Här deklareras en anslutningssträng till ett kölagringskonto i parametern --secrets. Ersätt <CONNECTION_STRING> med värdet för din reťazec pripojenia.

När du skapar en containerapp definieras hemligheter som ett eller flera hemliga objekt som skickas via parametern ConfigurationSecrets .

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id
$TemplateObj = New-AzContainerAppTemplateObject -Name queuereader -Image demos/queuereader:v1
$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString

$ContainerAppArgs = @{
    Name = 'my-resource-group'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

Här deklareras en anslutningssträng till ett kölagringskonto. Värdet för queue-connection-string kommer från en miljövariabel med namnet $QueueConnectionString.

Referenshemlighet från Key Vault

När du definierar en hemlighet skapar du en referens till en hemlighet som lagras i Azure Key Vault. Container Apps hämtar automatiskt det hemliga värdet från Key Vault och gör det tillgängligt som en hemlighet i containerappen.

Om du vill referera till en hemlighet från Key Vault måste du först aktivera hanterad identitet i containerappen och ge identiteten åtkomst till Key Vault hemligheter.

Information om hur du aktiverar hanterad identitet i containerappen finns i Hanterade identiteter.

Om du vill ge åtkomst till Key Vault hemligheter beviljar du Azure RBAC-rollen Key Vault Secrets User till den hanterade identiteten.

Gå till containerappen i Azure-portalen.
Under avsnittet Säkerhet väljer du Identitet.
På fliken Systemtilldelat anger du Status till På.

Anmärkning

Du kan också använda en användartilldelad hanterad identitet som kan återanvändas över flera resurser och bevaras oberoende av appens livscykel. Om du vill använda den väljer du fliken Användartilldelad och väljer en befintlig identitet.

Välj Spara för att aktivera systemtilldelad hanterad identitet.
Ett popup-fönster visas för att bekräfta att du vill aktivera systemtilldelad hanterad identitet och registrera din containerapp med Microsoft Entra ID. Välj Ja.
Under avsnittet Säkerhet väljer du Hemligheter.
Välj Lägg till.
I fönstret Lägg till hemlig kontext anger du följande information:
- Namn: Namnet på hemligheten.
- Type: Välj Key Vault-referens.
- Key Vault hemlig URL: URI:n för din hemlighet i Key Vault. Den här URI:n har följande formulär: https://<YOUR_KEY_VAULT_NAME>.vault.azure.net/secrets/<YOUR_SECRET_NAME>/<32_DIGIT_HEX_ID>
- Identitet: Välj Systemtilldelad.
Välj Lägg till.

Hemligheter definieras på programnivå i resources.properties.configuration.secrets avsnittet .

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "keyVaultUrl": "<KEY_VAULT_SECRET_URI>",
                "identity": "system"
            }],
        }
    }
}

Här deklareras en anslutningssträng till ett kölagringskonto i arrayen secrets. Värdet hämtas automatiskt från Key Vault med den angivna identiteten. Om du vill använda en användarhanterad identitet ersätter system du med identitetens resurs-ID.

Ersätt <KEY_VAULT_SECRET_URI> med URI:n för din hemlighet i Key Vault.

När du skapar en containerapp definieras hemligheter med hjälp av parametern --secrets .

Parametern accepterar en utrymmesavgränsad uppsättning namn/värde-par.
Ett likhetstecken (=) avgränsar varje par.
Om du vill ange en Key Vault referens använder du formatet <SECRET_NAME>=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<MANAGED_IDENTITY_ID>. Till exempel queue-connection-string=keyvaultref:https://mykeyvault.vault.azure.net/secrets/queuereader,identityref:/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity.

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
  --secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>"

Här deklareras en anslutningssträng till ett kölagringskonto i parametern --secrets. Ersätt <KEY_VAULT_SECRET_URI> med URI:n för din hemlighet i Key Vault. Ersätt <USER_ASSIGNED_IDENTITY_ID> med resurs-ID för den användartilldelade identiteten.

Anmärkning

Den användartilldelade identiteten måste ha åtkomst till att läsa hemligheten i Key Vault. Systemtilldelad identitet kan inte användas med kommandot create eftersom den inte är tillgänglig förrän containerappen har skapats.

Anmärkning

Om du använder UDR med Azure Firewall måste du lägga till tjänsttaggen AzureKeyVault och login.microsoft.com FQDN i listan över tillåtna för brandväggen. Se konfigurera UDR med Azure Firewall för att bestämma vilka ytterligare tjänsttaggar du behöver.

Key Vault hemlig URI och hemlig rotation

Den Key Vault hemliga URI:n måste ha något av följande format:

https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931: Referera till en specifik version av en hemlighet.
https://myvault.vault.azure.net/secrets/mysecret: Referera till den senaste versionen av en hemlighet.

Om en version inte anges i URI:n använder appen den senaste versionen som finns i nyckelvalvet. När nyare versioner blir tillgängliga hämtar appen automatiskt den senaste versionen inom 30 minuter. Alla aktiva revisioner som refererar till hemligheten i en miljövariabel startas automatiskt om för att hämta det nya värdet.

Om du vill ha fullständig kontroll över vilken version av en hemlighet som används anger du versionen i URI:n.

Referera till hemligheter i miljövariabler

När du har deklarerat hemligheter på programnivå enligt beskrivningen i avsnittet definiera hemligheter kan du referera till dem i miljövariabler när du skapar en ny revision i containerappen. När en miljövariabel refererar till en hemlighet fylls dess värde med det värde som definierats i hemligheten.

Exempel

I följande exempel visas ett program som deklarerar en reťazec pripojenia på programnivå. Den här anslutningen refereras i en containermiljövariabel och i en skalningsregel.

När du har definierat en hemlighet i containerappen kan du referera till den i en miljövariabel när du skapar en ny revision.

Gå till containerappen i Azure-portalen.
Under avsnittet Program väljer du Revisioner och repliker.
På sidan Revisioner och repliker väljer du Skapa ny revision.
På sidan Skapa och distribuera ny revision går du till fliken Container under avsnittet Containeravbildning och väljer en container.
Välj Redigera.
I fönstret Redigera en containerkontext väljer du fliken Miljövariabler .
Välj Lägg till.
Ange följande information:
- Namn: Namnet på miljövariabeln.
- Källa: Välj Referera till en hemlighet.
- Värde: Välj den hemlighet som du definierade tidigare.
Välj Spara.
På sidan Skapa och distribuera ny revision väljer du Skapa för att skapa den nya revisionen.

I det här exemplet deklareras programmets anslutningssträng som queue-connection-string och blir tillgänglig i andra delar av konfigurationsavsnitten.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "key_vault_secret_uri": { ⬅️
            "type": "String"      ⬅️
        }                         ⬅️
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-03-01",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [                                              ⬅️
                {                                                         ⬅️
                    "name": "queue-connection-string",                    ⬅️
                    "keyVaultUrl": "[parameters('key_vault_secret_uri')", ⬅️
                    "identity": "system"                                  ⬅️ 
                }]                                                        ⬅️
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "env": [
                            {
                                "name": "QueueName",
                                "value": "myqueue"
                            },
                            {
                                "name": "ConnectionString",            ⬅️
                                "secretRef": "queue-connection-string" ⬅️
                            }
                        ]
                    }
                ],
                "scale": {
                    "minReplicas": 0,
                    "maxReplicas": 10,
                    "rules": [
                        {
                            "name": "myqueuerule",
                            "azureQueue": {
                                "queueName": "demoqueue",
                                "queueLength": 100,
                                "auth": [
                                    {
                                        "secretRef": "queue-connection-string", ⬅️
                                        "triggerParameter": "connection"        ⬅️
                                    }
                                ]
                            }
                        }
                    ]
                }
            }
        }
    }]
}

Här hämtar miljövariabeln med namnet connection-string dess värde från hemligheten på programnivå queue-connection-string . Dessutom använder Azure Queue Storage skalningsregelns autentiseringskonfiguration hemligheten queue-connection-string för att definiera anslutningen.

Om du vill undvika att checka in hemliga värden till källkontrollen med ARM-mallen skickar du hemliga värden som ARM-mallparametrar.

I det här exemplet skapar du en containerapp med hjälp av Azure CLI med en hemlighet som refereras till i en miljövariabel. Om du vill referera till en hemlighet i en miljövariabel i Azure CLI anger du dess värde till secretref: följt av namnet på hemligheten.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
  --secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>" \
  --env-vars "QueueName=myqueue" "ConnectionString=secretref:queue-connection-string"

Här hämtar miljövariabeln med namnet connection-string dess värde från hemligheten på programnivå queue-connection-string .

Referenser till Secrets i Azure Key Vault stöds inte i PowerShell.

I det här exemplet skapar du en container med Azure PowerShell med en hemlighet som refereras till i en miljövariabel. Om du vill referera till hemligheten i en miljövariabel i PowerShell anger du dess värde till secretref:, följt av namnet på hemligheten.

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id

$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString
$EnvVarObjQueue = New-AzContainerAppEnvironmentVarObject -Name QueueName -Value myqueue
$EnvVarObjConn = New-AzContainerAppEnvironmentVarObject -Name ConnectionString -SecretRef queue-connection-string -Value secretref
$TemplateObj = New-AzContainerAppTemplateObject -Name myQueueApp -Image demos/myQueueApp:v1 -Env $EnvVarObjQueue, $EnvVarObjConn

$ContainerAppArgs = @{
    Name = 'myQueueApp'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

Här hämtar miljövariabeln med namnet ConnectionString dess värde från hemligheten på programnivå $QueueConnectionString .

Montera hemligheter i en volym

När du har deklarerat hemligheter på programnivå enligt beskrivningen i avsnittet definiera hemligheter kan du referera till dem i volymmonteringar när du skapar en ny revision i containerappen. När du monterar hemligheter i en volym monteras varje hemlighet som en fil i volymen. Filnamnet är namnet på hemligheten och filinnehållet är värdet för hemligheten. Du kan läsa in alla hemligheter i en volymmontering eller läsa in specifika hemligheter.

Exempel

När du har definierat en hemlighet i containerappen kan du referera till den i en volymmontering när du skapar en ny revision.

Gå till containerappen i Azure-portalen.
Under avsnittet Program väljer du Revisioner och repliker.
På sidan Revisioner och repliker väljer du Skapa ny revision.
På sidan Skapa och distribuera ny revision går du till fliken Container under avsnittet Containeravbildning och väljer en container.
Välj Redigera.
I fönstret Redigera en containerkontext väljer du fliken Volymmonteringar .
Välj Skapa ny volym.
I fönstret Lägg till volymkontext anger du följande information:
- Volymtyp: Välj Secret.
- Namn: mysecrets
- Montera alla hemligheter: aktiverat
Anmärkning

Om du vill läsa in specifika hemligheter inaktiverar du Montera alla hemligheter och väljer de hemligheter som du vill läsa in.
Välj Lägg till.
I fönstret Redigera en containerkontext går du till Volymnamn och väljer mysecrets.
Under Monteringssökväg ange /mnt/secrets.
Välj Spara.
På sidan Skapa och distribuera ny revision väljer du Skapa för att skapa den nya revisionen med volymmonteringen.

I det här exemplet deklareras två hemligheter på programnivå. Dessa hemligheter monteras i en volym med namnet mysecrets av typen Secret. Volymen monteras på sökvägen /mnt/secrets. Programmet kan sedan referera till hemligheterna i volymmonteringen.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "key_vault_secret_uri": {
            "type": "Securestring"
        },
        "api-key": {
            "type": "Securestring"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-11-01-preview",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                    {
                        "name": "queue-connection-string",
                        "keyVaultUrl": "[parameters('key_vault_secret_uri')",
                        "identity": "system"
                    },
                    {
                        "name": "api-key",
                        "value": "[parameters('api-key')]"
                    }
                ]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "volumeMounts": [
                            {
                                "name": "mysecrets",
                                "mountPath": "/mnt/secrets"
                            }
                        ]
                    }
                ],
                "volumes": [
                    {
                        "name": "mysecrets",
                        "storageType": "Secret"
                    }
                ]
            }
        }
    }]
}

Om du vill läsa in specifika hemligheter och ange deras sökvägar i den monterade volymen definierar du hemligheterna i matrisen secrets för volymobjektet. I följande exempel visas hur du endast laddar hemligheten queue-connection-string i volymmonteringen mysecrets genom att använda filnamnet connection-string.txt.

{
    "properties": {
        ...
        "configuration": {
            ...
            "secrets": [
                {
                    "name": "queue-connection-string",
                    "keyVaultUrl": "[parameters('key_vault_secret_uri')",
                    "identity": "system"
                },
                {
                    "name": "api-key",
                    "value": "[parameters('api-key')]"
                }
            ]
        },
        "template": {
            "containers": [
                {
                    "image": "myregistry/myQueueApp:v1",
                    "name": "myQueueApp",
                    "volumeMounts": [
                        {
                            "name": "mysecrets",
                            "mountPath": "/mnt/secrets"
                        }
                    ]
                }
            ],
            "volumes": [
                {
                    "name": "mysecrets",
                    "storageType": "Secret",
                    "secrets": [
                        {
                            "secretRef": "queue-connection-string",
                            "path": "connection-string.txt"
                        }
                    ]
                }
            ]
        }
        ...
    }
    ...
}

I din app kan du läsa hemligheten från en fil som finns på /mnt/secrets/connection-string.txt.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
  --secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>" "api-key=$API_KEY" \
  --secret-volume-mount "/mnt/secrets"

Om du vill läsa in specifika hemligheter och ange deras sökvägar i den monterade volymen definierar du din app med YAML.

Felsöka Key Vault-referenser

När du refererar till hemligheter från Azure Key Vault kan det uppstå problem vid hemlig hämtning eller synkronisering. Här är vanliga fel och lösningar:

Error	Orsak	Lösning
Hanterad identitet är inte aktiverad	Containerappen har ingen tilldelad hanterad identitet.	Aktivera systemtilldelad eller användartilldelad hanterad identitet i containerappen. Se Hanterade identiteter.
Det går inte att hitta identiteten	Den angivna hanterade identiteten finns inte eller är inte tilldelad till containerappen.	Kontrollera att identiteten har skapats och tilldelats containerappen i avsnittet Identitet .
Hemligheten har inaktiverats i Key Vault	Hemligheten är inaktiverad i den Key Vault resursen.	Gå till din Key Vault i Azure-portalen och aktivera hemligheten.
Autentiseringen misslyckades	Den hanterade identiteten saknar de behörigheter som krävs för att läsa hemligheten.	Ge rollen Key Vault Secrets User till den hanterade identiteten på din Key Vault. Se Key Vault Secrets User.
RBAC-behörighet nekad	Den hanterade identiteten har inte tillräcklig behörighet för att komma åt Key Vault.	Verifiera RBAC-rolltilldelningen på Key Vault och se till att den innehåller läsbehörigheter för hemligheter.

Nästa steg

Behållare

Feedback

Var den här sidan till hjälp?

Last updated on 2026-04-14

Dela via

Hantera hemligheter i Azure Container Apps

Definiera hemligheter

Lagra hemligt värde i Container Apps

Referenshemlighet från Key Vault

Key Vault hemlig URI och hemlig rotation

Referera till hemligheter i miljövariabler

Exempel

Montera hemligheter i en volym

Exempel

Felsöka Key Vault-referenser

Nästa steg

Feedback

Ytterligare resurser