Azure密钥库与用于密码存储的自动化帐户变量

Question

在Microsoft中，可以将密码之类的秘密值存储在Azure Key Vault中，也可以存储在Azure自动化中的加密变量(这些值存储在后台的Azure管理密钥库中)。

从解决方案设计的角度来看，如果Azure自动化用于触发所有解决方案代码的执行，那么是否有充分的理由使用密钥库呢？为什么不使用自动化帐户变量存储来保存、管理和检索我的密码，以便在执行时插入代码。

或者总是使用Key Vault存储资源密码(例如用于部署和访问VM、SQL Server)是最好的做法吗？若然，其背后的理据为何？

Answer 1

一直在探索(AAC)资产的“变量”(加密和简单)和“凭据”。对于我的情况，我的结论是，仅使用AAC存储和检索资源密码和变量值比在解决方案设计中使用额外的Azure密钥Vault资源更干净、足够且不复杂。

此外，在AAC上，可以独立地存储和管理变量和凭据，而不依赖于使用它们的运行簿(松散耦合原理)。

请注意，加密的资产需要通过ServicePrincipal帐户访问(从系统托管密钥库中检索加密密钥)，因此必须使用AAC环境执行代码。

https://docs.microsoft.com/en-us/azure/automation/shared-resources/variables

https://docs.microsoft.com/en-us/azure/automation/shared-resources/credentials