Azure Keyvault访问来自不同Azure订阅的资源

我正在尝试在MVC应用程序中使用

azure keyvault

获取存储帐户密钥。此MVC应用程序托管在不同的azure订阅中，存储帐户属于这些订阅。是否可以在任何订阅中使用one

Azure Keyvault

资源，并为驻留在不同订阅中的存储帐户提供密钥？

是的，这是可能的

您需要在Azure AD租户中使用密钥库为应用程序创建标识，密钥库的订阅位于该租户处。然后将访问vault的权限分配给这些服务主体

---

然后，您可以将客户端id、客户端机密和租户id放入需要访问密钥库的应用程序中。然后他们应该能够调用它，因为他们有一个允许访问的身份。Key Vault使用HTTP API，因此应用程序和Vault是否位于同一订阅/数据中心/云提供商中无关紧要。

这些订阅是否链接到同一Azure AD租户？目前还没有。这些订阅很少共享公共AD租户。但是很少有其他人有不同的广告。谢谢朱纳斯。。KeyVault是否应该位于Azure AD租户中以使其正常工作？当然，vault将位于某些Azure AD租户中。重要的是，您要在同一租户中创建应用程序标识，以便为他们分配访问vault的权限。因此，如果您在订阅A中创建vault，并且该订阅链接到租户ABC，则必须在租户ABC中创建应用程序标识。您尝试过吗？这是不可能的，比如说，你不能使用kv跨订阅部署webapp证书。这可能是真的：）但如果这只是关于秘密存储连接字符串，就没有理由不起作用。