Tutorial: Asegurar la conexión del Servicio Cognitivo desde .NET App Service mediante Key Vault

Azure App Service puede usar identidades administradas para conectarse a servicios back-end sin un cadena de conexión, lo que elimina los secretos de conexión para administrar y mantener la conectividad de back-end segura en un entorno de producción. En el caso de los servicios back-end que no admiten identidades administradas y que siguen necesitando secretos de conexión, puede usar Key Vault para administrar secretos de conexión. En este tutorial se usa Foundry Tools como ejemplo para mostrar cómo se realiza en la práctica. Cuando termines, tendrás una aplicación que realiza llamadas programáticas a "Foundry Tools", sin almacenar secretos de conexión dentro de "App Service".

Aplicación de ejemplo

Sugerencia

Las herramientas de Foundry admiten la autenticación mediante identidades administradas, pero en este tutorial se usa la autenticación de clave de subscription para demostrar cómo puede conectarse a un servicio de Azure que no admite identidades administradas desde App Services.

Diagrama de arquitectura para el escenario del tutorial.

Con esta arquitectura:

La conectividad con Key Vault está protegida por identidades administradas
App Service accede a los secretos mediante referencias Key Vault como valores de la aplicación.
El acceso al almacén de claves está restringido a la aplicación. Los colaboradores de la aplicación, como los administradores, pueden tener un control completo de los recursos de App Service y, al mismo tiempo, no tienen acceso a los secretos de Key Vault.
Si el código de la aplicación ya tiene acceso a los secretos de conexión con la configuración de la aplicación, no se requiere ningún cambio.

Lo qué aprenderá:

Habilitar identidades administradas
Uso de identidades administradas para conectarse a Key Vault
Uso de referencias de Key Vault
Acceder a herramientas Foundry

Requisitos previos

Prepare el entorno para el CLI de Azure.

Use el entorno de Bash en Azure Cloud Shell. Para obtener más información, consulte Get started with Azure Cloud Shell.
Si prefiere ejecutar localmente comandos de referencia de la CLI, instale la CLI de Azure. Si se ejecuta en Windows o macOS, considere la posibilidad de ejecutar CLI de Azure en un contenedor de Docker. Para obtener más información, consulte Cómo ejecutar el CLI de Azure en un contenedor de Docker.
- Si usa una instalación local, inicie sesión en el CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Authenticate para Azure con CLI de Azure.
- Cuando se le solicite, instale la extensión CLI de Azure en el primer uso. Para obtener más información sobre las extensiones, consulte Use y administre extensiones con el CLI de Azure.
- Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.

Creación de una aplicación con conectividad con Las herramientas de Foundry

Cree un grupo de recursos que contenga todos los recursos:

# Save resource group name as variable for convenience
groupName=myKVResourceGroup
region=westeurope

az group create --name $groupName --location $region

Cree un recurso para los servicios de Azure AI. Reemplace cs-resource-name por un nombre único de su elección.
```
# Save resource name as variable for convenience. 
csResourceName=<cs-resource-name>

az cognitiveservices account create --resource-group $groupName --name $csResourceName --location $region --kind TextAnalytics --sku F0 --custom-domain $csResourceName
```
Nota:

--sku F0 crea un recurso de servicios de Azure AI de nivel gratuito. Cada suscripción está limitada a una cuota de un recurso gratuito. Si ya supera la cuota, use en su lugar.

Configuración de .NET aplicación

Clone el repositorio de ejemplo localmente e implemente la aplicación de ejemplo en App Service. Reemplace app-name por un nombre de aplicación único.

# Save app name as variable for convenience
appName=<app-name>

# Clone sample application
git clone https://github.com/Azure-Samples/app-service-language-detector.git
cd app-service-language-detector/dotnet

az webapp up --sku F1 --resource-group $groupName --name $appName --plan $appName --location $region

Configurar secretos como ajustes de la aplicación

Configure los secretos de Foundry Tools como configuraciones de la aplicación y .

# Get subscription key for Cognitive Services resource
csKey1=$(az cognitiveservices account keys list --resource-group $groupName --name $csResourceName --query key1 --output tsv)

az webapp config appsettings set --resource-group $groupName --name $appName --settings CS_ACCOUNT_NAME="$csResourceName" CS_ACCOUNT_KEY="$csKey1"

En el explorador, acceda a su aplicación implementada y pruebe el detector de idioma con cadenas en varios idiomas.

Captura de pantalla que muestra la aplicación de detector de idioma implementada en App Service.

Si mira el código de la aplicación, puede observar que la salida de depuración de los resultados de la detección tiene el mismo color de fuente que el fondo. Puede verlo intentando resaltar el espacio en blanco directamente debajo del resultado.

Conectividad de back-end segura

En este momento, los secretos de conexión se almacenan como configuración de la aplicación en la aplicación App Service. Este enfoque ya está protegiendo los secretos de conexión desde el código base de la aplicación. Sin embargo, cualquier colaborador que pueda gestionar su aplicación también puede acceder a la configuración de la aplicación. En este paso, moverá los secretos de conexión a un almacén de claves y limitará el acceso para garantizar que únicamente usted pueda administrarlo y que únicamente la aplicación App Service pueda leerlo mediante su identidad administrada.

Cree un Key Vault. Reemplace vault-name por un nombre único.
```
# Save app name as variable for convenience
vaultName=<vault-name>

az keyvault create --resource-group $groupName --name $vaultName --location $region --sku standard --enable-rbac-authorization
```
El parámetro --enable-rbac-authorizationestablece el control de acceso basado en roles (RBAC) de Azure como el modelo de permisos. Esta configuración invalida de manera predeterminada todos los permisos de las directivas de acceso.

Otórguese a sí mismo el rol RBAC de Agente de secretos de Key Vault para el almacén.

vaultResourceId=$(az keyvault show --name $vaultName --query id --output tsv)
myId=$(az ad signed-in-user show --query id --output tsv)
az role assignment create --role "Key Vault Secrets Officer" --assignee-object-id $myId --assignee-principal-type User --scope $vaultResourceId

Habilite la identidad administrada asignada por el sistema para la aplicación y asígnele el rol RBAC de usuario de secretos de Key Vault para el almacén.
```
az webapp identity assign --resource-group $groupName --name $appName --scope $vaultResourceId --role  "Key Vault Secrets User"
```

Agregue el nombre del recurso de los servicios de Azure AI y la clave de suscripción como secretos al almacén y guarde sus identificadores como variables de entorno para el paso siguiente.

csResourceKVUri=$(az keyvault secret set --vault-name $vaultName --name csresource --value $csResourceName --query id --output tsv)
csKeyKVUri=$(az keyvault secret set --vault-name $vaultName --name cskey --value $csKey1 --query id --output tsv)

Anteriormente, estableciste los secretos como configuraciones de la aplicación y dentro de tu aplicación. Ahora, en su lugar, defínalos como referencias del almacén de claves.

az webapp config appsettings set --resource-group $groupName --name $appName --settings CS_ACCOUNT_NAME="@Microsoft.KeyVault(SecretUri=$csResourceKVUri)" CS_ACCOUNT_KEY="@Microsoft.KeyVault(SecretUri=$csKeyKVUri)"

En el explorador, vuelva a navegar a . Si obtiene los resultados de la detección, se conectará al punto de conexión de los servicios de Azure AI con referencias del almacén de claves.

Enhorabuena, tu aplicación ahora se conecta a Foundry Tools mediante secretos guardados en el almacén de claves, sin realizar cambios en el código de tu aplicación.

Limpieza de recursos

En los pasos precedentes, creó recursos de Azure en un grupo de recursos. Si no espera necesitar estos recursos en el futuro, elimine el grupo de recursos ejecutando el comando siguiente en el Cloud Shell:

az group delete --name $groupName

Este comando puede tardar varios segundos en ejecutarse.

Pasos siguientes

Tutorial: aislar la comunicación del back-end con la integración de Virtual Network
Integrate la aplicación con una red virtual Azure
Características de redes de App Service

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-03-06