التشغيل السريع: إنشاء مخزن مفاتيح Azure ومفتاح باستخدام قالب ARM

Azure Key Vault هي خدمة سحابية توفر مخزنا آمنا للأسرار، مثل المفاتيح وكلمات المرور والشهادة. يركز هذا التشغيل السريع على عملية نشر قالب Azure Resource Manager (قالب ARM) لإنشاء مخزن مفاتيح ومفتاح.

المتطلبات الأساسية

لإكمال هذه المقالة:

• إذا لم يكن لديك اشتراك Azure، فبادر بإنشاء حساب مجاني قبل البدء.
• سيحتاج المستخدم إلى تعيين دور مضمن في Azure ، مساهم دور موصى به. تعرف على المزيد هنا

مراجعة القالب

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "vaultName": {
      "type": "string",
      "metadata": {
        "description": "The name of the key vault to be created."
      }
    },
    "keyName": {
      "type": "string",
      "metadata": {
        "description": "The name of the key to be created."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "The location of the resources"
      }
    },
    "skuName": {
      "type": "string",
      "defaultValue": "standard",
      "allowedValues": [
        "standard",
        "premium"
      ],
      "metadata": {
        "description": "The SKU of the vault to be created."
      }
    },
    "keyType": {
      "type": "string",
      "defaultValue": "RSA",
      "allowedValues": [
        "EC",
        "EC-HSM",
        "RSA",
        "RSA-HSM"
      ],
      "metadata": {
        "description": "The JsonWebKeyType of the key to be created."
      }
    },
    "keyOps": {
      "type": "array",
      "defaultValue": [],
      "metadata": {
        "description": "The permitted JSON web key operations of the key to be created."
      }
    },
    "keySize": {
      "type": "int",
      "defaultValue": 2048,
      "metadata": {
        "description": "The size in bits of the key to be created."
      }
    },
    "curveName": {
      "type": "string",
      "defaultValue": "",
      "allowedValues": [
        "",
        "P-256",
        "P-256K",
        "P-384",
        "P-521"
      ],
      "metadata": {
        "description": "The JsonWebKeyCurveName of the key to be created."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.KeyVault/vaults",
      "apiVersion": "2021-11-01-preview",
      "name": "[parameters('vaultName')]",
      "location": "[parameters('location')]",
      "properties": {
        "accessPolicies": [],
        "enableRbacAuthorization": true,
        "enableSoftDelete": true,
        "softDeleteRetentionInDays": "90",
        "enabledForDeployment": false,
        "enabledForDiskEncryption": false,
        "enabledForTemplateDeployment": false,
        "tenantId": "[subscription().tenantId]",
        "sku": {
          "name": "[parameters('skuName')]",
          "family": "A"
        },
        "networkAcls": {
          "defaultAction": "Allow",
          "bypass": "AzureServices"
        }
      }
    },
    {
      "type": "Microsoft.KeyVault/vaults/keys",
      "apiVersion": "2021-11-01-preview",
      "name": "[format('{0}/{1}', parameters('vaultName'), parameters('keyName'))]",
      "properties": {
        "kty": "[parameters('keyType')]",
        "keyOps": "[parameters('keyOps')]",
        "keySize": "[parameters('keySize')]",
        "curveName": "[parameters('curveName')]"
      },
      "dependsOn": [
        "[resourceId('Microsoft.KeyVault/vaults', parameters('vaultName'))]"
      ]
    }
  ],
  "outputs": {
    "proxyKey": {
      "type": "object",
      "value": "[reference(resourceId('Microsoft.KeyVault/vaults/keys', parameters('vaultName'), parameters('keyName')))]"
    }
  }
}

يتم تحديد موردين في القالب:

• Microsoft.KeyVault/خزائن
• Microsoft.KeyVault/vaults/keys

يمكن العثور على المزيد من عينات قوالب Azure Key Vault في قوالب التشغيل السريع Azure.

المعلمات والتعاريف

Parameter	التعريف
keyOps	يحدد العمليات التي يمكن تنفيذها باستخدام المفتاح. إذا لم تحدد هذه المعلمة، فيمكن تنفيذ جميع العمليات. القيم المقبولة لهذه المعلمة هي قائمة مفصولة بفواصل من العمليات الرئيسية كما هو محدد بواسطة مواصفات مفتاح ويب JSON (JWK): ["sign", "verify", "encrypt", "decrypt", " wrapKey", "unwrapKey"]
اسم المنحنى	اسم المنحنى الإهليلجي (EC) لنوع مفتاح EC. راجع JsonWebKeyCurveName
كيتي	نوع المفتاح المراد إنشاؤه. للحصول على قيم صحيحة، راجع JsonWebKeyType
Tags	بيانات التعريف الخاصة بالتطبيق في شكل أزواج قيم المفاتيح.
بنك الفجيرة الوطني	يحدد الوقت، ككائن DateTime، الذي لا يمكن استخدام المفتاح قبله. سيكون التنسيق هو طابع الوقت Unix (عدد الثواني بعد Unix Epoch في 1 يناير 1970 بالتوقيت العالمي المنسق).
اكسب	يحدد وقت انتهاء الصلاحية، ككائن DateTime. سيكون التنسيق هو طابع الوقت Unix (عدد الثواني بعد Unix Epoch في 1 يناير 1970 بالتوقيت العالمي المنسق).

نشر القالب

يمكنك استخدام مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI أو REST API. للتعرف على أساليب النشر، راجع نشر القوالب.

مراجعة الموارد الموزعة

يمكنك استخدام مدخل Microsoft Azure للتحقق من مخزن المفاتيح والمفتاح. بدلا من ذلك، استخدم البرنامج النصي Azure CLI أو Azure PowerShell التالي لسرد المفتاح الذي تم إنشاؤه.

CLI

echo "Enter your key vault name:" &&
read keyVaultName &&
az keyvault key list --vault-name $keyVaultName &&
echo "Press [ENTER] to continue ..."

بوويرشيل

$keyVaultName = Read-Host -Prompt "Enter your key vault name"
Get-AzKeyVaultKey -vaultName $keyVaultName
Write-Host "Press [ENTER] to continue..."

يختلف إنشاء المفتاح باستخدام قالب ARM عن إنشاء مفتاح عبر مستوى البيانات

إنشاء مفتاح عبر ARM

• من الممكن فقط إنشاء مفاتيح جديدة . لا يمكن تحديث المفاتيح الحالية أو إنشاء إصدارات جديدة من المفاتيح الموجودة. إذا كان المفتاح موجودا بالفعل ، استرداد المفتاح الموجود من التخزين واستخدامه (لن تحدث أي عمليات كتابة).

• لكي يكون المصطلح لاستخدام هذه الواجهة، يحتاج المتصل إلى إجراء التحكم في الوصول القائم على الأدوار (Azure RBAC) بعنوان "Microsoft.KeyVault/vaults/keys/write". دور "مساهم خزنة المفاتيح" المدمج كاف، لأنه يخول جميع إجراءات Azure RBAC التي تطابق نمط "Microsoft.KeyVault/*".

  

واجهة برمجة التطبيقات الحالية (إنشاء مفتاح عبر مستوى البيانات)

• من الممكن إنشاء مفاتيح جديدة وتحديث المفاتيح الموجودة وإنشاء إصدارات جديدة من المفاتيح الموجودة.
• يجب أن يكون المتصل مخولا باستخدام واجهة برمجة التطبيقات هذه. إذا كانت الخزنة تستخدم سياسات الوصول، يجب أن يكون لدى المتصل إذن "إنشاء" المفتاح؛ إذا كان القبو مفعلا ل Azure RBAC، يجب أن يكون لدى المتصل "Microsoft.KeyVault/vaults/keys/create/action" Azure RBAC DataAction.

تنظيف الموارد

تعتمد عمليات التشغيل السريع والبرامج التعليمية الأخرى في Key Vault على هذا التشغيل السريع. إذا كنت تخطط لمواصلة العمل مع الخطوات السريعة والبرامج التعليمية اللاحقة، فقد ترغب في ترك هذه الموارد في مكانها. عندما لا تكون هناك حاجة إلى ذلك، احذف مجموعة الموارد، التي تحذف Key Vault والموارد ذات الصلة. لحذف مجموعة الموارد باستخدام Azure CLI أو Azure PowerShell:

CLI

echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName &&
echo "Press [ENTER] to continue ..."

بوويرشيل

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
Remove-AzResourceGroup -Name $resourceGroupName
Write-Host "Press [ENTER] to continue..."

الخطوات التالية

في هذا التشغيل السريع، قمت بإنشاء مخزن مفاتيح ومفتاح باستخدام قالب ARM، والتحقق من صحة النشر. لمعرفة المزيد حول Key Vault وAzure Resource Manager، راجع هذه المقالات.

• اقرأ نظرة عامة على Azure Key Vault
• التعرف على المزيد حول Azure Resource Manager
• راجع نظرة عامة على أمان Key Vault