針對 Azure 應用程式組態執行個體停用存取金鑰驗證
向 Azure 應用程式組態資源提出的每個要求都必須經過驗證。 預設可透過 Microsoft Entra 認證或使用存取金鑰來驗證要求。 在這兩種驗證配置中,Microsoft Entra ID 提供的安全性和易用性優於存取金鑰,且 Microsoft 建議使用此方法。 若要求用戶端必須使用 Microsoft Entra ID 來驗證要求,您可以停止對 Azure 應用程式組態資源使用存取金鑰。
針對 Azure 應用程式組態資源停用存取金鑰驗證時,將會刪除該資源的任何現有存取金鑰。 使用先前已有的存取金鑰向資源提出的任何後續要求會遭到拒絕。 只有使用 Microsoft Entra ID 來驗證的要求會成功。 如需使用 Microsoft Entra ID 的詳細資訊,請參閱使用 Microsoft Entra ID 授權存取 Azure 應用程式組態。
停用存取金鑰驗證
停用存取金鑰驗證會刪除所有存取金鑰。 如果有任何執行中的應用程式使用存取密鑰進行驗證,一旦停用存取密鑰驗證,它們就會開始失敗。 再次啟用存取金鑰驗證會產生一組新的存取金鑰,任何嘗試使用舊存取金鑰的應用程式仍會失敗。
警告
如果有任何用戶端目前使用存取金鑰來存取 Azure 應用程式組態資源中的資料,Microsoft 建議您在停用存取金鑰驗證之前,將這些用戶端移轉至 Microsoft Entra ID。
若要在 Azure 入口網站中針對 Azure 應用程式組態資源禁用存取金鑰驗證,請遵循下列步驟:
在 Azure 入口網站中,瀏覽至您的 Azure 應用程式組態資源。
在 [設定] 底下找出 [存取設定] 設定。
將 [啟用存取金鑰] 切換至 [已停用]。
確認已停用存取金鑰驗證
若要確認已不允許存取金鑰驗證,可以提出要求來列出 Azure 應用程式組態資源的存取金鑰。 如果存取金鑰驗證已停用,則不會有任何存取金鑰,而列表作業會傳回空白清單。
若要在 Azure 入口網站中確認已針對 Azure 應用程式組態資源停用存取金鑰驗證,請遵循下列步驟:
在 Azure 入口網站中,瀏覽至您的 Azure 應用程式組態資源。
在 [設定] 底下找出 [存取設定] 設定。
確認沒有顯示存取金鑰,且 [啟用存取金鑰] 已切換至 [已停用]。
允許或禁止存取金鑰驗證所需的權限
若要修改 Azure 應用程式組態資源的存取金鑰驗證狀態,使用者必須有權限建立和管理 Azure 應用程式組態資源。 提供這些權限的 Azure 角色型存取控制 (Azure RBAC) 角色包括 Microsoft.AppConfiguration/configurationStores/write 或 Microsoft.AppConfiguration/configurationStores/* 動作。 具有此動作的內建角色包括:
這些角色無法透過 Microsoft Entra ID 存取 Azure 應用程式組態資源中的資料。 但包括 Microsoft.AppConfiguration/configurationStores/listKeys/action 動作權限,可授與存取資源的存取金鑰。 此權限可讓使用者使用存取金鑰來存取資源中的所有資料。
角色指派必須以 Azure 應用程式組態資源的層級或更高為範圍,才可讓使用者允許或禁止對資源進行存取金鑰驗證。 如需角色範圍的詳細資訊,請參閱了解 Azure RBAC 的範圍。
請小心限制將這些角色指派給需要建立 應用程式組態 資源或更新其屬性的使用者。 使用最低權限原則,以確保使用者具有完成其工作所需的最低權限。 如需使用 Azure RBAC 管理存取權的詳細資訊,請參閱 Azure RBAC 的最佳做法。
注意
傳統訂用帳戶管理員角色「服務管理員」和「共同管理員」含有 Azure Resource Manager 擁有者角色的相等權限。 擁有者角色包括所有動作,因此,具有上述其中一個系統管理角色的使用者也可以建立和管理 Azure 應用程式組態資源。 如需詳細資訊,請參閱 Azure 角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色。
注意
停用存取金鑰驗證,且 應用程式組態 存放區的 ARM 驗證模式為本機時,也會停用 ARM 範本中讀取/寫入金鑰/值的功能。 這是因為存取ARM範本中使用的 Microsoft.AppConfiguration/configurationStores/keyValues 資源需要使用本機 ARM 驗證模式來存取密鑰驗證。 建議使用傳遞ARM驗證模式。 如需詳細資訊,請參閱 部署概觀。