Поделиться через

Использование переменных среды для секретов Azure Key Vault

Переменные среды позволяют ссылаться на секреты, хранящиеся в Azure Key Vault. Затем эти секреты становятся доступными для использования в потоках Power Automate и нестандартных соединителях. Обратите внимание, что секреты недоступны для использования в других настройках или вообще через API-интерфейсы.

Фактические секреты хранятся в Azure Key Vault, а переменная среды ссылается на расположение секретов Key Vault. Для использования секретов Azure Key Vault с переменными среды необходимо настроить Azure Key Vault так, чтобы Power Platform могла прочитать конкретные секреты, на которые вы хотите сослаться.

Переменные среды, ссылающиеся на секреты, в настоящее время недоступны в селекторе динамического содержимого для использования в потоках Power Automate.

Настройка Azure Key Vault

Чтобы использовать секреты Azure Key Vault с Power Platform, подписка Azure с хранилищем должна иметь зарегистрированный поставщик ресурсов PowerPlatform, и пользователь, который создает переменную среды, должен иметь соответствующие разрешения на доступ к ресурсу Azure Key Vault.

Внимание!

  • Недавно была изменена роль безопасности, используемая для утверждения разрешений на доступ в Azure Key Vault. Предыдущие инструкции включали назначение роли читателя Key Vault. Если вы ранее настроили хранилище ключей с ролью читателя Key Vault, обязательно добавьте роль пользователя секретов Key Vault, чтобы убедиться, что пользователи и Microsoft Dataverse имеют достаточные разрешения для получения секретов.
  • Мы понимаем, что наша служба использует API-интерфейсы управления доступом на основе ролей Azure для оценки назначения ролей безопасности, даже если ваше хранилище ключей по-прежнему настроено на использование модели разрешений политики доступа к хранилищу. Чтобы упростить настройку, рекомендуется переключить модель разрешений хранилища на управление доступом на основе ролей Azure. Это можно сделать на вкладке Конфигурация доступа.

  1. Зарегистрируйте поставщика ресурсов Microsoft.PowerPlatform в вашей подписке Azure. Выполните следующие действия, чтобы проверить и настроить: Поставщики ресурсов и типы ресурсов

    Зарегистрируйте поставщик Power Platform в Azure

  2. Создайте хранилище Azure Key Vault. Рассмотрите возможность использования отдельного хранилища для каждой среды Power Platform, чтобы свести к минимуму угрозу в случае нарушения. Рассмотрите возможность настройки хранилища ключей для использования функции Управление доступом на основе ролей Azure для элемента Модель разрешений. Дополнительные сведения: Рекомендации по использованию Azure Key Vault, Краткое руководство — создание Azure Key Vault с помощью портала Azure

  3. Пользователи, создающие или использующие переменные среды типа "секрет", должны иметь разрешение на извлечение содержимого секрета. Чтобы предоставить новому пользователю возможность использовать секрет, выберите область Управление доступом (IAM), нажмите Добавить и выберите Добавить назначение ролей в раскрывающемся списке. Дополнительные сведения: Предоставление доступа к ключам, сертификатам и секретам Key Vault с помощью управления доступом на основе ролей Azure.

    Просмотр моего доступа в Azure

  4. В мастере Добавить назначение ролей оставьте тип назначения по умолчанию Роли должности и перейдите на вкладку Роль. Найдите Роль пользователя секретов Key Vault и выберите ее. Перейдите на вкладку "Участники", перейдите по ссылке Выбрать участников и найдите пользователя на боковой панели. Когда пользователь будет выбран и отобразится в разделе участников, перейдите на вкладку проверки и назначения и завершите шаги мастера.

  5. В Azure Key Vault субъекту-службе Dataverse должна быть назначена роль Пользователь секретов Key Vault. Если политика доступа не существует для этого хранилища, добавьте новую политику доступа, используя тот же метод, который использовался ранее для разрешения конечного пользователя, только с использованием идентификатора приложения Dataverse вместо пользователя. Если в вашем клиенте есть несколько субъектов-служб Dataverse, рекомендуется выбрать их все и сохранить назначение ролей. После назначения роли проверьте каждый элемент Dataverse, указанный в списке назначений ролей, и выберите имя Dataverse, чтобы просмотреть подробные сведения. Если ИД приложения отличен от 00000007-0000-0000-c000-000000000000**, выберите идентификатор и нажмите Удалить, чтобы удалить его из списка.

  6. Если вы включили брандмауэр Azure Key Vault, необходимо разрешить для IP-адресов Power Platform доступ к хранилищу ключей. Power Platform не включен в параметр «Только доверенные службы». Перейдите в раздел URL-адреса и диапазоны IP-адресов Power Platform для получения сведений о текущих IP-адресах, используемых в службе.

  7. Если вы еще этого не сделали, добавьте секрет в новое хранилище. Дополнительные сведения: Краткое руководство по Azure — задание и получение секрета из Key Vault с помощью портала Azure

Создание новой переменной среды для секрета Key Vault

После того как хранилище Azure Key Vault настроено и у вас есть секрет, зарегистрированный в вашем хранилище, вы можете ссылаться на него в Power Apps, используя переменную окружения.

Заметка

  • Проверка доступа пользователя к секрету выполняется в фоновом режиме. Если у пользователя нет разрешения хотя бы на чтение, отображается следующая ошибка проверки: "Эта переменная не сохранилась надлежащим образом. Пользователь не имеет права на чтение секретов из "пути Azure Key Vault".
  • В настоящее время Azure Key Vault — единственное хранилище секретов, которое поддерживается с переменными среды.
  • Azure Key Vault должен находиться в том же клиенте, что и подписка Power Platform.

  1. Войдите в Power Apps, и в области Решения откройте неуправляемое решение, которое вы используете для разработки.

  2. Выберите Создать>Дополнительно>Переменная среды.

  3. Введите Отображаемое имя и, при необходимости, Описание для переменной среды.

  4. Выберите Тип данных как Секрет и Хранилище секретов как Azure Key Vault.

  5. Выберите один из следующих параметров:

    • Выберите Новая ссылка на секрет Azure Key Vault. После того как информация будет добавлена на следующем шаге и сохранена, создается запись значение переменной среды.
    • Разверните Показать значение по умолчанию, чтобы отобразить поля для создания параметра Секрет Azure Key Vault по умолчанию. После того как информация будет добавлена на следующем шаге и сохранена, демаркация значения по умолчанию добавляется в запись определения переменной среды.

  6. Введите следующие данные:

    • Идентификатор подписки Azure: идентификатор подписки Azure, связанной с хранилищем ключей.

    • Имя группы ресурсов: группа ресурсов Azure, в которой находится хранилище ключей, содержащее секрет.

    • Имя Azure Key Vault: имя хранилища ключей, которое содержит секрет.

    • Имя секрета: имя секрета, хранящегося в Azure Key Vault.

      Совет

      Идентификатор подписки, имя группы ресурсов и имя хранилища ключей можно найти на странице Обзор хранилища ключей портала Azure. Имя секрета можно найти на странице хранилища ключей на портале Azure, выбрав Секреты в разделе Параметры.

  7. Выберите Сохранить.

Создание потока Power Automate для проверки секрета переменной среды

Простой сценарий, демонстрирующий использование секрета, полученного из Azure Key Vault, заключается в создании потока Power Automate, чтобы использовать секрет для аутентификации в веб-службе.

Заметка

Универсальный код ресурса (URI) для веб-службы в этом примере не является действующей веб-службой.

  1. Войдите в Power Apps, выберите Решения, затем откройте требуемое неуправляемое решение. Если этого пункта нет на боковой панели, выберите …Еще, а затем выберите нужный пункт.

  2. Выберите Создать>Автоматизация>Облачный поток>Мгновенный.

  3. Введите имя потока, выберите Активировать поток вручную, затем выберите Создать.

  4. Выберите Создать шаг, выберите соединитель Microsoft Dataverse, затем на вкладке Действия выберите Выполнить несвязанное действие.

  5. Выберите действие с именем RetrieveEnvironmentVariableSecretValue из раскрывающегося списка.

  6. Укажите уникальное имя переменной среды (не отображаемое имя), добавленное в предыдущем разделе, для этого примера используется new_TestSecret.

  7. Выберите ...>Переименовать, чтобы переименовать действие, чтобы на него было легче ссылаться в следующем действии. На этот снимке экрана оно переименовано в GetSecret.

    Конфигурация мгновенного потока для проверки секрета переменной среды

  8. Выберите ...>Параметры для отображения параметров действия GetSecret.

  9. Включите параметр Безопасные выходы в параметрах, затем выберите Готово. Это делается для того, чтобы выходные данные действия не отображались в истории выполнения потока.

    Включение параметра безопасных выходов для действия

  10. Выберите Создать шаг, найдите и выберите соединитель HTTP.

  11. Выберите Метод как GET и введите URI для веб-сервиса. В этом примере используется вымышленный веб-сервис httpbin.org.

  12. Выберите Показать дополнительные параметры, выберите для параметра Аутентификация значение Базовый, затем введите Имя пользователя.

  13. Выберите поле Пароль, затем на вкладке Динамическое содержимое под названием шага потока выше (GetSecret в этом примере) выберите RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue, который затем добавляется как выражение outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] или body('GetSecretTest')['EnvironmentVariableSecretValue'].

    Создайте новый шаг с помощью соединителя HTTP

  14. Выберите ...>Параметры для отображения параметров действия HTTP.

  15. Включите параметры Безопасные входы и Безопасные выходы в параметрах, затем выберите Готово. Включение этих параметров обеспечивает, чтобы входные и выходные данные действия не отображались в истории выполнения потока.

  16. Выберите Сохранить, чтобы создать поток.

  17. Вручную выполните поток, чтобы проверить его.

    Используя историю выполнения потока, можно проверить выходные данные.

    Выходные данные потока

Использовать секретов переменных среды в Microsoft Copilot Studio

Секреты переменных среды в Microsoft Copilot Studio работают немного по-другому. Необходимо выполнить действия, описанные в разделах Настройка Azure Key Vault и Создание новой переменной среды для секрета Key Vault, чтобы использовать секреты с переменными среды.

Предоставление Copilot Studio доступа к Azure Key Vault

Выполните следующие действия:

  1. Вернитесь в Azure Key Vault.

  2. Copilot Studio требуется доступ к хранилищу ключей. Чтобы предоставить Copilot Studio возможность использования секрета, выберите Управление доступом (IAM) на панели навигации слева, выберите Добавить, затем выберите Добавить назначение роли.

    Просмотр моего доступа в Azure

  3. Выберите роль Пользователь секретов Key Vault, затем выберите Далее.

  4. Выберите Выбрать участников, выполните поиск по запросу Служба Power Virtual Agents, выберите его, затем выберите Выбрать.

  5. Выберите Проверить + назначить в нижней части экрана. Просмотрите информацию и снова выберите Проверить + назначить, если все верно.

Добавление тега, чтобы разрешить помощнику доступ к секрету в Azure Key Vault

После выполнения предыдущих шагов в этом разделе Copilot Studio теперь имеет доступ к Azure Key Vault, но вы пока не можете его использовать. Чтобы завершить задачу, выполните следующие шаги:

  1. Перейдите в Microsoft Copilot Studio и откройте агент, который вы хотите использовать для секрета переменной среды, или создайте новый.

  2. Откройте тему агента или создайте новую.

  3. Выберите значок +, чтобы добавить узел, затем выберите Отправить сообщение.

  4. Выберите параметр Вставить переменную {x} в узле Отправить сообщение.

  5. Выберите вкладку Среда. Выберите секрет переменной среды, созданный на шаге Создание новой переменной среды для секрета Key Vault.

  6. Выберите Сохранить, чтобы сохранить тему.

  7. В области тестов протестируйте тему, используя одну из стартовых фраз тему, в которую вы только что добавили узел Отправить сообщение с секретом переменной среды. Вы должны столкнуться с ошибкой, которая выглядит следующим образом:

    Сообщение об ошибке: Боту запрещено использовать переменную среды. Чтобы добавить бота в список разрешенных, добавьте тег 'AllowedBots' со значением.

    Это означает, что вам нужно вернуться в Azure Key Vault и отредактировать секрет. Оставьте Copilot Studio открытым, потому что вы вернетесь сюда позже.

  8. Перейдите в Azure Key Vault. В левой области переходов выберите Секреты в разделе Объекты. Выберите секрет, который вы хотите сделать доступным в Copilot Studio, выбрав имя.

  9. Выберите версию секрета.

  10. Выберите 0 тегов рядом с Теги. Добавьте Имя тега и Значение тега. В сообщении об ошибке в Copilot Studio должны быть указаны точные значения этих двух свойств. В поле Имя тега нужно добавить AllowedBots, а в поле Значение тега — значение, которое отображалось в сообщении об ошибке. Это значение имеет формат {envId}/{schemaName}. Если необходимо разрешить несколько помощников, разделите значения запятой. При готовности выберите ОК.

  11. Выберите Применить, чтобы применить тег к секрету.

  12. Вернитесь в Copilot Studio. Выберите Обновить в области Тестирование помощника.

  13. В области тестирования проверьте тему еще раз, используя одну из стартовых фраз темы.

Значение вашего секрета должно отображаться на тестовой панели.

Добавьте тег, чтобы разрешить всем помощникам в среде доступ к секрету в Azure Key Vault

Кроме того, вы можете разрешить всем помощникам в среде доступ к секрету в Azure Key Vault. Чтобы завершить задачу, выполните следующие шаги:

  1. Перейдите в Azure Key Vault. В левой области переходов выберите Секреты в разделе Объекты. Выберите секрет, который вы хотите сделать доступным в Copilot Studio, выбрав имя.
  2. Выберите версию секрета.
  3. Выберите 0 тегов рядом с Теги. Добавьте Имя тега и Значение тега. В поле Имя тега добавьте AllowedEnvironments, а в поле Значение тега добавьте идентификатор среды, которую вы хотите разрешить. По готовности выберите ОК
  4. Выберите Применить, чтобы применить тег к секрету.

Ограничение

Переменные среды, ссылающиеся на секреты Azure Key Vault, в настоящее время ограничены для использования с потоками Power Automate, агентами Copilot Studio и пользовательскими соединителями.

Для использования секретов Azure Key Vault с переменными среды требуется настроить Azure Key Vault так, чтобы Power Platform могла прочитать конкретные секреты, на которые вы хотите сослаться. Эта возможность обеспечивает поддержку переменных среды с помощью секретов Azure Key Vault, подключающихся по закрытому каналу, что повышает безопасность и обеспечивает более надежную интеграцию.

  1. Настройте поддержку виртуальной сети Azure для Power Platform, чтобы интегрировать переменные среды с секретами Azure Key Vault, не раскрывая их в общедоступном Интернете. Подробные инструкции см. в разделе Настройка виртуальной сети.

  2. Убедитесь, что подписка Azure для Key Vault и виртуальной сети Power Platform находятся в одном клиента, так как интеграция между клиентами не поддерживается.

  3. Убедитесь, что пользователь, создающий переменные среды, имеет соответствующие разрешения на доступ к ресурсу Azure Key Vault. Дополнительные сведения см. в разделе Настройка Azure Key Vault

  4. Создайте хранилище ключей и установите подключение по приватному каналу. Шаги по созданию хранилища ключей должны включать следующие действия:

    • Отключите публичный доступ.
    • Создайте частную конечную точку.
    • Выберите виртуальную сеть и подсеть, в которой вы хотите создать эту частную конечную точку. Обязательно подключите виртуальную сеть (виртуальную сеть), делегированную к Power Platform.
    • Проверьте подключение по приватному каналу.

    Подробные шаги см. в разделе Настройка поддержки виртуальной сети для Power Platform.

  5. Создайте секреты переменных среды, связав с Azure Key Vault.

См. также

Использование переменных среды источника данных в приложениях на основе холста
Использование переменных среды в облачных потоках решения Power Automate
Обзор переменных среды.