Azure-sdk-for-java: [BUG] KeyVaultPropertySource 클래스 / getPropertyNames 메서드는 키 저장소의 모든 비밀 (비밀 비활성화 포함)을로드합니다.

에 만든 2020년 08월 13일 · 10코멘트 · 출처: Azure/azure-sdk-for-java

버그 설명
현재 Key Vault는 기본적으로 일시 삭제 기능을 활성화합니다. 인증서를 생성 / 삭제하면 비활성화 된 비밀을로드하기 때문에 Jave 앱이 충돌합니다.
KeyVaultPropertySource 클래스는 KeyVault의 모든 비밀을로드합니다. getPropertyNames 메서드에서 비활성화 된 비밀을로드해서는 안됩니다.
그런데 해결 방법은 인증서를 제거하는 것입니다. 그러나 소프트 삭제 된 비밀을로드하라는 요청이 없기 때문에 SDK 부분에서 개선 할 수 있습니다.

예외 또는 스택 추적
가능한 경우 예외 로그 및 스택 추적을 추가하십시오.

재현하려면
동작을 재현하는 단계 :
A. KeyVault 인증서 (비밀 아님)를 생성하고 Java 애플리케이션이 충돌 한 후 인증서를 삭제했습니다.
C. 인증서는 새 인증서를 만들 때 자동으로 비밀 식별자를 만듭니다.
D. 인증서를 삭제 한 후 Azure 시스템에서 비밀 식별자를 비활성화합니다.
E.이 경우 Java 응용 프로그램은 런타임에 DISABLED 비밀을 읽으려고합니다.
나는. 그리고 자바 앱이 충돌했습니다.
라이브러리는 com.microsoft입니다. azure : azure-keyvault : 1.2.2
코드 스 니펫
문제를 일으키는 코드 조각을 추가합니다.

@ 값 ( "$ {cluster-app-sb-connection-string}")
문자열 connectionString;
@Value ( "$ {cluster-app.sb.topic-name}")
문자열 topicName;
예상되는 행동
예상했던 일에 대한 명확하고 간결한 설명.

스크린 샷
해당되는 경우 문제를 설명하는 데 도움이되는 스크린 샷을 추가합니다.

설정 (다음 정보를 작성하십시오) :

OS : [예 : iOS]
IDE : [예 : IntelliJ]
사용 된 라이브러리의 버전

추가 컨텍스트
여기에 문제에 대한 다른 컨텍스트를 추가하십시오.

정보 체크리스트
위의 다음 정보를 모두 추가했는지 확인하고 필수 필드를 선택했는지 확인하십시오. 그렇지 않으면 발행자를 불완전한 보고서로 간주합니다.

[x] 버그 설명 추가
[] 재현 단계 추가
[] 설정 정보 추가

Client azure-spring azure-spring-keyvault customer-reported question

출처

TonySh127-ms

가장 유용한 댓글

이 문제는 Key Vault Secrets의 Spring Boot 스타터가 작동하는 방식으로 인해 발생합니다. 비활성화 된 비밀을 필터링하지 않았습니다. 이제 문제를 해결하기 위해 PR을 작성합니다.

zhoufenqin 에 2020년 08월 25일

👍2 👀1

모든 10 댓글

@ TonySh127-ms Key Vault 스타터 또는 SDK를 직접 사용하고 있습니까?

saragluna 에 2020년 08월 14일

@ TonySh127-ms와 오프라인으로 논의했으며 고객은 keyvault에 spring-boot-starter를 사용했습니다. 새 SDK가 이러한 종류의 문제를 해결하는지 SDK 측의 확인이 필요합니다.

saragluna 에 2020년 08월 17일

@AlexGhiondea @ vcolin7 후속 조치를 주시겠습니까?

joshfree 에 2020년 08월 17일

👍2

@joshfree 와 @saragluna에게 감사드립니다. @AlexGhiondea 및 @ vcolin7의 업데이트를 기다리고 있습니다. 단기간에 해결할 수없는 경우 알려주십시오. 클라이언트 측에 설명 할 수 있습니다. 다시 한 번 감사드립니다!

TonySh127-ms 에 2020년 08월 18일

안녕하세요 @ TonySh127-ms,

이 문제를 조사하는 데 시간을 투자 한 결과 다음을 발견했습니다. 고객이 보는 동작은 Key Vault Secrets의 Spring Boot 스타터가 작동하는 방식으로 인해 발생합니다. 기본적으로이 스타터를 사용하는 Spring 애플리케이션이 실행될 때마다 / secrets 엔드 포인트를 호출하여 지정된 저장소에있는 모든 기존 비밀의 이름을 가져 오며, 이는 모든 활성화 및 비활성화 된 비밀 (삭제 된 비밀이 아님)을로드합니다. 필요한 경우 특정 비밀의 세부 정보를 검색합니다. Key Vault 서비스 또는 SDK의 문제가 아니라 Spring Boot 스타터가 코딩 된 방식의 결과 일뿐입니다.

단기 솔루션은 Spring Boot 스타터가 아니라 Key Vault SDK 자체를 직접 사용하는 것입니다. 이렇게하면 고객은 애플리케이션 수명주기 동안 어떤 비밀이로드되는지에 대해 더 많은 제어를 할 수 있습니다.

또한 볼트에서 인증서를 만들고 삭제하는 것만으로도 너무 많은 비밀을로드하여 애플리케이션이 충돌하는 경우를 재현 할 수 없습니다. 이와 같은 작업을 수행하려면 고객으로부터 더 많은 정보가 필요합니다.이 정보를 재현 할 수있는 버전 및 샘플 코드를 포함하여 프로젝트에서 사용하는 종속성은 무엇입니까?

vcolin7 에 2020년 08월 19일

@ vcolin7 활성화 된 비밀 만로드하는 SDK에 전달할 수있는 옵션이 있습니까? Spring 통합에서 비활성화 된 비밀을로드해서는 안되는 것 같습니다.

saragluna 에 2020년 08월 20일

@saragluna 안타깝게도 서비스를 전달할 수있는 매개 변수가 없어 활성화 된 비밀 만 제공 할 수 있습니다.

vcolin7 에 2020년 08월 20일

zhoufenqin 에 2020년 08월 25일

👍2 👀1

@ TonySh127-ms
우리는 dev 패키지를 빌드합니다. 시도해 볼 수 있습니다.
이 페이지 를 따라 dev 패키지를 다운로드하십시오.

zhoufenqin 에 2020년 08월 28일

😄1

안녕하세요, 문제가 해결 된 것으로 확인되었습니다. 이제이 스레드를 닫을 수 있습니다. 많은 노력과 시간을 내 주셔서 감사합니다 !!!

TonySh127-ms 에 2020년 09월 08일

🎉1

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Azure-sdk-for-java: [BUG] KeyVaultPropertySource 클래스 / getPropertyNames 메서드는 키 저장소의 모든 비밀 (비밀 비활성화 포함)을로드합니다.

가장 유용한 댓글

모든 10 댓글

관련 문제