python - Azure python sdk：如何在不暴露代码凭据的情况下向 Azure 进行身份验证？

问题描述

有没有办法在不向我的代码中添加机密的情况下向 Azure 验证 python 应用程序？因为我使用的是不受信任的计算资源，所以我不能将我的秘密保存为环境变量，也不能在本地存储“配置”文件。

鉴于：

• 已通过门户为此应用程序创建了服务主体 ( python-sp)
• 服务主体已分配Contributor给 Azure Key Vault 的角色

例子：

• 我想使用 python sdk 以编程方式创建和管理 Azure 资源
• 要创建一个新的资源组，我首先需要对 python 应用程序进行身份验证。我能够找到的唯一不需要将 aclientSecret添加到代码中的方法是使用az login...

sp_name = 'python-sp'
sp_file = 'sp_creds.json'

!az login
!az ad sp create-for-rbac -n $sp_name --sdk-auth > $sp_file
!export AZURE_AUTH_LOCATION=$sp_file

with open(sp_file) as data_file:
    sp_details = json.load(data_file)

os.remove(sp_file)

• 不幸的是，这需要交互，因此代码并不是真正无头的。除此之外，凭证在内存中的一个 json 文件中，即使只是片刻。

• 如何改为访问 Azure Key Vault 来检索身份验证密钥/机密？

• 如果代码中没有某种凭据，我将无法访问 Azure Key Vault。

此处列出的方法似乎都需要在某些文件中存储和访问凭证或硬编码。

鸡和蛋！但我想这是有道理的。有任何想法吗？

标签： pythonazureauthenticationsdk