Приложение Azure Marketplace: безопасно ли помещать пароль в файл ARM?

Может ли ARM управляемого приложения считывать значения из хранилища ключей в моей подписке, если оно развертывается из Marketplace? - person FiftiN; 25.01.2019

они могут, судя по всему, @FiftiN, но вам придется жестко закодировать секретную ссылку kv в шаблон, верно? пользователь никак не может узнать ваш секретный URL-адрес kv, верно? но это означает, что вам нужно вложенное развертывание внутри шаблона только для его извлечения? да, извините, не дочитал до конца - person 4c74356b41; 25.01.2019

чем больше я об этом думаю, тем больше мне кажется, что это странная концепция. все, что вы передаете из KV, пользователь может извлечь из ресурса, верно? даже если он не может (очень редко), пользователь может создать рыночное решение, которое сделает это, так что это бессмысленно (не то чтобы это было легко, но выполнимо)? - person 4c74356b41; 25.01.2019

В вопросе в моем комментарии я вижу такую ​​схему: user-images.githubusercontent.com/914224/ . Является ли это возможным? - person FiftiN; 25.01.2019

Да, RP управляемого приложения может прочитать секрет из-за этого: docs.microsoft.com/en-us/azure/managed-applications/ — клиент, выполняющий развертывание, не может прочитать секрет (если только вы не предоставите ему явный доступ к нему). - person bmoore-msft; 29.01.2019

как вы думаете, как это должно работать во время развертывания на рынке? - person 4c74356b41; 24.01.2019

хорошо, оказывается, это может сработать, не то чтобы постер знал об этом, но - person 4c74356b41; 26.01.2019

Я спросил об этом на GitHub: github.com/MicrosoftDocs/azure-docs/issues/55026. - person FiftiN; 18.05.2020