在Azure KeyVault中保护Azure AD应用程序客户端ID和机密的策略

我们计划使用azure key vault保护数据库连接字符串和其他机密，例如azure AD应用程序机密和客户端ID

但在从密钥库获取这些值时，我们需要向API提供Azure AD客户端id和密码，并最终在application.json文件中设置这些值

---

在Azure密钥库中存储安全的Azure AD客户端ID和机密的最佳方法是什么？我知道我们可以创建单独的AD应用程序并利用它，但我希望避免创建新的应用程序。

您使用密钥库来保护clientID/secret，就像您在保险箱中创建密钥（密钥库）来访问资源（clientID/secret），但您需要另一个密钥来使用密钥库密钥。。。。这似乎是一个无限循环。如果该应用程序是azure（应用程序服务）上的主机，则可以在应用程序服务的应用程序设置刀片中的

应用程序设置中存储客户端ID/密码。云中的Azure Web App配置将在运行时注入配置系统。您不会在系统文件（web.config）中设置配置，azure提供基本的安全保护。
是的，我们只考虑过这种方法。谢谢。我觉得这是一个非常合理的问题。这是关于如何引导vault集成的。我问自己这个问题已经有相当一段时间了。因此，我对Azure密钥库的后续问题是：“应用程序设置”区域是否足够安全？开发人员/操作员能否以明文形式检索机密？或者这些设置是否隐藏在门户上？开发人员/操作人员可以通过API访问它吗？Azure运营商可以访问这些应用程序设置吗？如果一切都非常安全，为什么不在秘密商店中使用应用程序设置，至少在常规使用情况下，例如不需要密钥翻转的情况下？谢谢。在做更多的研究时，我发现。本文详细介绍了基于Azure的应用程序的一些选项。