如何解决如何处理在每个 API 调用中使用标头身份验证的自定义连接器? 您对逻辑应用的选择替代方案:API 管理服务替代方案:Azure 函数
我有一个 Azure 逻辑应用程序,它使用我通过导入 Postman 集合制作的自定义连接器。我的连接器调用的 RESTful API 在每个请求中需要 3 个身份验证标头:UserName、Secret、ApiIntegrationCode。因为它需要三个具体命名的参数,所以我认为任何身份验证预设都不适合我。
我知道我可以保护各种连接器的输入和输出。我一直在考虑将敏感信息存储在每次运行时查询的 SQL 表中,并将值存储在传递给每个自定义连接器 API 调用的变量中。
这是保护敏感数据不被可能访问我的逻辑应用程序的人看到的可行方法吗?在每次调用中传递这些标头的最安全方式是什么?
解决方法
在这方面,(消费)逻辑应用程序中没有太多选项。
您对逻辑应用的选择
朝着正确方向迈出的第一步是将您的敏感信息放入 Azure Key Vault 并在您的逻辑应用中使用 the corresponding connector 从那里检索数据。这比为此目的查询 SQL 表更容易实现且更安全。
您可以做的第二件事是为进行 API 调用的连接器激活 secure inputs。这可确保传递到这些连接器的敏感信息在逻辑应用的运行历史记录和 Azure Log Analytics 等连接的服务中被混淆。
这种方法的问题在于,任何对您的逻辑应用程序拥有更多读取权限的人都可以继续停用安全输入设置或创建转储 Key Vault 内容的步骤。您可以使用 RBAC 来控制对逻辑应用的访问,但这当然意味着管理开销。
替代方案:API 管理服务
如果您希望通过各种方式允许其他开发人员更改逻辑应用程序而不向他们公开 API 机密,您可以考虑使用某种中间层与 API 进行通信。 Azure API Management Service (APIM) 是此处的选项之一。
您将在 Key Vault 中管理您的敏感信息,并通过“命名值”将它们注入您的 APIM 实例。然后,您可以在 APIM 中添加您的 API 作为后端,并将其公开给您的逻辑应用。
这里的优势是您可以使用可以频繁循环的 APIM subscription keys 保护对 API 的访问。您还可以将原始 API 的访问权限限制为仅那些需要可用于逻辑应用的调用。
APIM 是否适合您取决于您的用例,因为它是有代价的。甚至开发者计划的费用约为 50 美元/月:https://azure.microsoft.com/en-us/pricing/details/api-management/
替代方案:Azure 函数
您可以使用一个简单的 Azure Function 作为您的逻辑应用和 API 之间的中间层。此功能可以配置为从 Key Vault 中提取敏感数据,也可以通过 function access key 进行保护,您可以定期更新。
这是一个非常便宜的选项,如果您在消费计划中运行这些功能:https://azure.microsoft.com/en-us/pricing/details/functions/
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
