【Azure Function】Function App代码中使用Managed Identity认证获取Blob数据时遇见400报错

简介: 【Azure Function】Function App代码中使用Managed Identity认证获取Blob数据时遇见400报错

问题描述

在Azure Function中,使用如下代码读取Blob内容:

try
{
    // Retrieve the file from Azure Blob Storage
    BlobServiceClient bsclient = new BlobServiceClient(new Uri($"https://{SourceSA}.blob.core.chinacloudapi.cn"),new ManagedIdentityCredential(ClientID));
    BlobContainerClient containerClient = bsclient.GetBlobContainerClient(ContainerName);
    BlobClient sourceBlobClient = containerClient.GetBlobClient($"{sourcepathWithoutContainer}");
    MemoryStream SourceFileStream = new MemoryStream();
    await sourceBlobClient.DownloadToAsync(SourceFileStream);
    SourceFileStream.Position = 0;
    
    // ... Process Logic Process ...
}
catch (Exception ex)
{
    log.LogError(ex, "An error occurred while encrypting the file.");
    return new ObjectResult($"Error: {ex.Message}");
}

遇见了400(Bad Request)错误 ManagedIdentityCredential authentication failed: Service request failed.

在Azure Funciton所匹配的Application Insights分析页面中,发现在GET /msi/token 请求返回400。

 

问题解答

查看Function代码,发现ClientID参数取值是从Application Setting引用Azure Key Vault的Secret值来实现的。 而400的错误表示为客户端发起的请求URL有错误,所以怀疑是ClientID并不是正确的值。

进一步分析,在修改Key Vault Secret中的值后,Function App会缓存从Key Vault中获取的机密值,并且每24小时才会重新提取一次。

详见:https://learn.microsoft.com/en-us/azure/app-service/app-service-key-vault-references?tabs=azure-cli#rotation

虽然文中说明重启Function App或 App Service 可以获取到新的值,但是,有时候重启应用并没有效,还需要更多的从Application Setting中修改一次才可以缓解它。

例如:KeyVault references - are returned values cached in the App Service  : https://github.com/MicrosoftDocs/azure-docs/issues/36650

 

参考资料

  1. KeyVault references - are returned values cached in the App Service · Issue #36650 · MicrosoftDocs/azure-docs · GitHub
  2. Use Key Vault references - Azure App Service | Microsoft Learn

 

相关文章
|
20天前
【Azure Function】Azure Function中的Timer Trigger无法自动触发问题
【Azure Function】Azure Function中的Timer Trigger无法自动触发问题
|
20天前
【Azure Function & Application Insights】在Azure Function的日志中,发现DrainMode mode enabled Traces。它是什么意思呢?
【Azure Function & Application Insights】在Azure Function的日志中,发现DrainMode mode enabled Traces。它是什么意思呢?
|
20天前
|
API
【Azure Function】Function本地调试时遇见跨域问题(blocked by CORS policy)
【Azure Function】Function本地调试时遇见跨域问题(blocked by CORS policy)
【Azure Function】Function本地调试时遇见跨域问题(blocked by CORS policy)
|
20天前
|
Python
【Azure Function】发布 Python Function 到 Azure 成功,但是无法显示Function列表
【Azure Function】发布 Python Function 到 Azure 成功,但是无法显示Function列表
|
20天前
|
C#
【Azure Function】Function App启动时出现 Failed to open local port 4001 错误,这是什么情况呢?
【Azure Function】Function App启动时出现 Failed to open local port 4001 错误,这是什么情况呢?
|
20天前
|
C# C++
【Azure Function】在VS Code中创建Function项目遇见 No .NET worker runtimes found
【Azure Function】在VS Code中创建Function项目遇见 No .NET worker runtimes found
|
20天前
【Azure Function & Application Insights】调用Function上传和下载文件,有时候遇见大于1MB的文件的日志没有记录在Application Insights中
【Azure Function & Application Insights】调用Function上传和下载文件,有时候遇见大于1MB的文件的日志没有记录在Application Insights中
|
20天前
|
API C++ Python
【Azure Function】示例运行 python durable function(model V2)
【Azure Function】示例运行 python durable function(model V2)
|
20天前
|
C++
【Azure Function App】在VS Code中,创建好Function App后部署到Azure中,无法选择Subscriptions
【Azure Function App】在VS Code中,创建好Function App后部署到Azure中,无法选择Subscriptions
|
20天前
|
安全 Oracle Java
【Azure Function】Azure Function中使用 Java 8 的安全性问题
【Azure Function】Azure Function中使用 Java 8 的安全性问题