您如何安全地检索存储帐户键？

Question

我正在尝试在存储帐户中的容器上编程设置访问策略。理想情况下，我想使用托管身份来执行此操作，但是目前看来它不支持（请参阅在这里）。

因此，目前看来我需要使用存储帐户密钥，以便容器客户端可以创建访问策略。这使我进入了我问题的主要部分。将这些密钥存储在钥匙库中并使用托管身份将其检索或直接检索它们是最佳实践吗？将钥匙保留在这样的钥匙保险库中，如遗产尽管（或者也许只是那些特定的方法，因为Azure CLI也是遗产）。因此，看来这已经陷入了以某种方式的裂缝中，因为它在1处被称为遗产，但在另一个地方尚未得到支持。

如果我选择直接路线，那么最好的方法是什么？在这种情况下，我仍然可以使用托管身份吗？看在这里可以，因为它使用Azure Active Directory，这就是我相信背部托管身份的方法。

目前，我应该如何将访问策略设置为容器，这是令人困惑的，但是希望其他人遇到了这一需求，并且有一个很好的例子。

Answer 1

如果我选择了直接路线，那么最好的方法是什么？

如您在问题中提到的那样，存储帐户 - 列表密钥 是获取存储帐户访问键的方法。

在这种情况下，我仍然可以使用托管身份吗？

是的，您肯定可以。请确保您的托管身份有权在存储帐户上执行列表键操作。 所有者和贡献者角色肯定具有该许可，但您也可以选择 存储帐户贡献者 或 存储帐户关键操作员服务角色 角色，如果您不想分配托管身份的更强大的角色，例如所有者或贡献者。