.Net Core 5.0 - Sql Azure + Always Encrypted + Managed Identity.
У меня есть база данных Azure SQL с зашифрованными столбцами (всегда зашифровано с помощью Azure KeyVault). Я могу получить доступ к этой базе данных из SSMS и увидеть расшифрованные данные.
У меня также есть веб-приложение, созданное с помощью .Net Core 5.0, которое развернуто в службе приложений Azure. В службе приложений включена управляемая идентификация, а в хранилище ключей, в котором есть ключи enc / dec для этой базы данных SQL, есть параметр политики доступа, позволяющий этой службе приложений расшифровывать данные.
Веб-приложение работает с управляемой идентификацией, поскольку я вижу, что незашифрованные данные извлекаются без каких-либо проблем.
Кроме того, строка подключения включает Column Encryption Setting=enabled;. Вот строка подключения:
Server=tcp:server.database.windows.net,1433;Database=somedb;Column Encryption Setting=enabled;
Проблема в том, что я не могу найти НИКАКИХ образцов с такой настройкой. Я нашел несколько и понимаю, что мне нужно зарегистрироваться SqlColumnEncryptionAzureKeyVaultProvider. Вот мой код для получения SqlConnection:
internal static class AzureSqlConnection
{
private static bool _isInitialized;
private static void InitKeyVaultProvider(ILogger logger)
{
/*
* from here - https://github.com/dotnet/SqlClient/blob/master/release-notes/add-ons/AzureKeyVaultProvider/1.2/1.2.0.md
* and - https://github.com/dotnet/SqlClient/blob/master/doc/samples/AzureKeyVaultProviderExample.cs
*
*/
try
{
// Initialize AKV provider
SqlColumnEncryptionAzureKeyVaultProvider sqlColumnEncryptionAzureKeyVaultProvider =
new SqlColumnEncryptionAzureKeyVaultProvider(AzureActiveDirectoryAuthenticationCallback);
// Register AKV provider
SqlConnection.RegisterColumnEncryptionKeyStoreProviders(
new Dictionary<string, SqlColumnEncryptionKeyStoreProvider>(1, StringComparer.OrdinalIgnoreCase)
{
{SqlColumnEncryptionAzureKeyVaultProvider.ProviderName, sqlColumnEncryptionAzureKeyVaultProvider}
});
_isInitialized = true;
}
catch (Exception ex)
{
logger.LogError(ex, "Could not register SqlColumnEncryptionAzureKeyVaultProvider");
throw;
}
}
internal static async Task<SqlConnection> GetSqlConnection(string connectionString, ILogger logger)
{
if (!_isInitialized) InitKeyVaultProvider(logger);
try
{
SqlConnection conn = new SqlConnection(connectionString);
/*
* This is Managed Identity (not Always Encrypted)
* https://docs.microsoft.com/en-us/azure/app-service/app-service-web-tutorial-connect-msi#modify-aspnet-core
*
*/
#if !DEBUG
conn.AccessToken = await new AzureServiceTokenProvider().GetAccessTokenAsync("https://database.windows.net/");
logger.LogInformation($"token: {conn.AccessToken}"); #endif await conn.OpenAsync(); return conn; } catch (Exception ex) { logger.LogError(ex, "Could not establish a connection to SQL Server"); throw; } } private static async Task<string> AzureActiveDirectoryAuthenticationCallback(string authority, string resource, string scope) { return await new AzureServiceTokenProvider().GetAccessTokenAsync("https://database.windows.net/"); //AuthenticationContext? authContext = new AuthenticationContext(authority); //ClientCredential clientCred = new ClientCredential(s_clientId, s_clientSecret); //AuthenticationResult result = await authContext.AcquireTokenAsync(resource, clientCred); //if (result == null) //{ // throw new InvalidOperationException($"Failed to retrieve an access token for {resource}");
//}
//return result.AccessToken;
}
}
Этот код не генерирует никаких исключений и работает для незашифрованных запросов. Но для зашифрованных запросов я получаю следующую ошибку:
Не удалось расшифровать ключ шифрования столбца. Недопустимое имя поставщика хранилища ключей: "AZURE_KEY_VAULT". Имя поставщика хранилища ключей должно обозначать либо поставщика хранилища ключей системы, либо зарегистрированного поставщика хранилища настраиваемых ключей. Допустимые имена поставщиков хранилища ключей системы: MSSQL_CERTIFICATE_STORE, MSSQL_CNG_STORE, MSSQL_CSP_PROVIDER. Допустимые (в настоящее время зарегистрированные) имена поставщиков хранилища настраиваемых ключей:. Проверьте информацию о провайдере хранилища ключей в определениях главного ключа столбца в базе данных и убедитесь, что все поставщики пользовательского хранилища ключей, используемые в вашем приложении, зарегистрированы правильно. Не удалось расшифровать ключ шифрования столбца. Недопустимое имя поставщика хранилища ключей: "AZURE_KEY_VAULT". Имя поставщика хранилища ключей должно обозначать либо поставщика хранилища ключей системы, либо зарегистрированного поставщика хранилища настраиваемых ключей.Допустимые имена поставщиков хранилища ключей системы: MSSQL_CERTIFICATE_STORE, MSSQL_CNG_STORE, MSSQL_CSP_PROVIDER. Допустимые (в настоящее время зарегистрированные) имена поставщиков хранилища настраиваемых ключей:. Проверьте информацию о провайдере хранилища ключей в определениях главного ключа столбца в базе данных и убедитесь, что все поставщики пользовательского хранилища ключей, используемые в вашем приложении, зарегистрированы правильно.
Похоже, что поставщик хранилища ключей не зарегистрирован.
Что мне делать, чтобы он работал для запроса зашифрованных данных?
используемые пакеты
<PackageReference Include="Microsoft.Azure.Services.AppAuthentication" Version="1.6.0" />
<PackageReference Include="Microsoft.Data.SqlClient" Version="2.1.0" />
<PackageReference Include="Microsoft.Data.SqlClient.AlwaysEncrypted.AzureKeyVaultProvider" Version="1.2.0" />
<PackageReference Include="Microsoft.Extensions.Hosting" Version="5.0.0" />
Ответы
Оказывается, в .NET 5 невозможно прочитать расшифрованные данные при использовании MSI. В пакетах MS есть ошибка, и служба приложения никогда не авторизуется.
Вы должны использовать субъект-службу. Это работает как шарм!
Обновлять
Я должен поблагодарить инженеров MS, которые предложили рабочее решение:
public static async Task<string> KeyVaultAuthenticationCallback(string authority, string resource, string scope)
{
return await Task.Run(() => new ManagedIdentityCredential().GetToken(new TokenRequestContext(new string [] {"https://vault.azure.net/.default"})).Token);
/********************** Alternatively, to use User Assigned Managed Identity ****************/
// var clientId = {clientId_of_UserAssigned_Identity};
// return await Task.Run(() => new ManagedIdentityCredential(clientId).GetToken(new TokenRequestContext(new string [] {"https://vault.azure.net/.default"})).Token);
}
Я смог использовать этот код, который использует TokenCredential для поставщика SqlColumnEncryption. DefaultAzureCredential возвращает управляемое удостоверение при развертывании в качестве службы приложений:
SqlColumnEncryptionAzureKeyVaultProvider azureKeyVaultProvider = new SqlColumnEncryptionAzureKeyVaultProvider(new DefaultAzureCredential());
Dictionary<string, SqlColumnEncryptionKeyStoreProvider> providers = new Dictionary<string, SqlColumnEncryptionKeyStoreProvider>
{
{ SqlColumnEncryptionAzureKeyVaultProvider.ProviderName, azureKeyVaultProvider }
};
SqlConnection.RegisterColumnEncryptionKeyStoreProviders(providers);
Вызовите его из своего метода startup.Configure.