简单直接的回答是:技术上可行,但在工程实践和安全架构中极度不推荐(Anti-pattern)。
Azure Key Vault 本身是一个扁平的容器,它没有内建的“环境(Environment)”或“文件夹”概念来物理隔离 Dev 和 Prod。
以下是详细的分析,包你需要知道的“怎么做”以及“为什么最好别这么做”。
1. 技术上如何实现(如果你非要这么做)
在一个 Vault 中区分 Dev 和 Prod,通常只能通过命名规范来实现。
- 做法:你在同一个 Vault 里创建类似这样的 Secret:
ConnectionStrings--DevConnectionStrings--ProdApiClientSecret--DevApiClientSecret--Prod
- 应用配置:你的代码需要根据当前运行环境(比如
ASPNETCORE_ENVIRONMENT变量)动态地去拼接 Secret 的名称来读取。
2. 为什么这是糟糕的实践?(安全与运维风险)
将生产(Prod)和开发(Dev)混在一个 Vault 和一个 App Registration 中,违反了最小权限原则(Least Privilege)和隔离原则。
a. 权限管控噩梦 (Access Control)
- 开发人员权限:开发人员通常需要对 Dev 环境的 Secret 有读写权限(为了调试方便)。如果 Prod Secret 也在同一个 Vault 里,除非你极其通过精细且复杂的 RBAC(基于角色的访问控制)对每一个具体的 Secret 单独设置权限,否则开发人员很容易就能看到生产数据库密码。
- 一锅端风险:如果你的 Dev 环境因为代码漏洞被攻破,黑客直接拿到了访问 Vault 的权限。因为 Prod 也在里面,黑客立刻就能获得生产环境的访问权(数据泄露)。
b. 误操作风险 (Human Error)
- 如果有人误删除了 Vault,或者误删除了某个 Key,Dev 和 Prod 会同时挂掉。
- 开发人员在调试脚本时,如果不小心配错了环境变量,可能会将测试数据错误地写入生产数据库(因为 Key 只差一个后缀)。
c. 限流风险 (Throttling)
- Azure Key Vault 也是有请求速率限制的。如果你的 Dev 环境在进行压力测试,耗尽了 Key Vault 的配额,会导致生产环境的请求被拒绝(429 Too Many Requests),造成生产事故。
3. Azure 官方推荐的最佳实践
标准架构是:完全隔离。
推荐方案:
- 资源隔离:创建两个 Key Vault。
kv-myapp-devkv-myapp-prod
- 身份隔离:使用两个 Managed Identity(或 App Registration)。
- Dev 环境的 App Service 使用
id-myapp-dev,只拥有kv-myapp-dev的读取权限。 - Prod 环境的 App Service 使用
id-myapp-prod,只拥有kv-myapp-prod的读取权限。
- Dev 环境的 App Service 使用
- 统一命名:
- 在两个 Vault 中,Secret 的名字保持完全一致(例如都叫
db-connection-string)。 - 好处:代码不需要改动,不需要去拼接
--dev或--prod后缀。代码只需要连接到配置好的 Vault,读取同一个名字的 Key 即可。
- 在两个 Vault 中,Secret 的名字保持完全一致(例如都叫
4. 总结
- 能否在一个 Vault 分 Dev/Prod?
- 能,靠命名区分(如
secret-dev,secret-prod)。
- 能,靠命名区分(如
- 能否共用一个 Azure App (Identity)?
- 能,但这意味着 Dev 环境的身份有权读取 Prod 的密码。
- 结论:
- 不要为了省一点点配置时间而牺牲安全性。
- Key Vault 的标准层(Standard Tier)非常便宜(按操作次数收费),创建两个 Vault 几乎不会增加从成本。
- 请务必为每个环境创建独立的 Key Vault,并使用独立的 Managed Identity进行访问。
