Kurz: Použití spravované identity přiřazené systémem na virtuálním počítači s Windows pro přístup k Azure Key Vaultu

Spravované identity pro prostředky Azure jsou funkcí ID Microsoft Entra. Každá ze služeb Azure, které podporují spravované identity pro prostředky Azure, se řídí vlastní časovou osou. Než začnete, nezapomeňte zkontrolovat stav dostupnosti spravovaných identit pro váš prostředek a známé problémy.

V tomto kurzu se dozvíte, jak může virtuální počítač s Windows používat spravovanou identitu přiřazenou systémem pro přístup ke službě Azure Key Vault. Key Vault umožňuje klientské aplikaci používat tajný kód pro přístup k prostředkům, které nejsou zabezpečené pomocí Microsoft Entra ID. Spravované identity se automaticky spravují v Azure. Umožňují ověřování ve službách, které podporují ověřování Microsoft Entra, bez zahrnutí ověřovacích informací do kódu.

Získáte informace pro:

• Udělení přístupu virtuálnímu počítači k tajnému kódu uloženému ve službě Key Vault
• Získání přístupového tokenu pomocí identity virtuálního počítače a jeho použití k načtení tajného kódu ze služby Key Vault

Požadavky

• Znalost spravovaných identit. Pokud ještě neznáte funkci spravovaných identit pro prostředky Azure, podívejte se na tento přehled.
• Účet Azure, zaregistrujte si bezplatný účet.
• Oprávnění Vlastník v příslušném oboru (vaše předplatné nebo skupina prostředků) k provedení požadovaných kroků pro vytvoření prostředku a správu rolí. Pokud potřebujete pomoc s přiřazením role, přečtěte si téma Přiřazení rolí Azure ke správě přístupu k prostředkům předplatného Azure.
• Potřebujete také virtuální počítač s Windows, který má povolené spravované identity přiřazené systémem.
  • Pokud potřebujete vytvořit virtuální počítač pro účely tohoto kurzu, můžete postupovat podle článku s názvem Vytvoření virtuálního počítače s povolenou identitou přiřazenou systémem.

Vytvoření služby Key Vault

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

V této části se dozvíte, jak virtuálnímu počítači udělit přístup k tajnému kódu uloženému ve službě Key Vault. Při použití spravovaných identit pro prostředky Azure může váš kód získat přístupové tokeny k ověření prostředků, které podporují ověřování Microsoft Entra.  Ne všechny služby Azure však podporují ověřování Microsoft Entra. Pokud chcete používat spravované identity pro prostředky Azure s těmito službami, uložte přihlašovací údaje služby do Azure Key Vaultu a použijte spravovanou identitu virtuálního počítače k získání přístupu ke Key Vaultu, abyste načetli přihlašovací údaje.

Napřed potřebujete vytvořit Key Vault a pak k němu udělíte přístup spravované identitě přiřazené systémem virtuálního počítače.

1. Přihlaste se k portálu Azure.

2. V horní části levého navigačního panelu vyberte Vytvořit prostředek.

3. Do pole Hledat na Marketplace zadejte Key Vault a stiskněte Enter.

4. Ve výsledcích vyberte Key Vault .

5. Vyberte Vytvořit.

6. Zadejte název nového trezoru klíčů.

   

7. Vyplňte všechny požadované informace. Ujistěte se, že jste zvolili předplatné a skupinu prostředků, které používáte pro účely tohoto kurzu.

8. Výběr možnosti Zkontrolovat a vytvořit

9. Vyberte příkaz Vytvořit.

Vytvoření tajného kódu

Dále do služby Key Vault přidejte tajný kód, abyste ho mohli později načíst pomocí kódu spuštěného na virtuálním počítači. V tomto kurzu používáme PowerShell, ale stejné koncepty platí pro jakýkoli kód spuštěný na tomto virtuálním počítači.

1. Přejděte do nově vytvořené služby Key Vault.

2. Vyberte Tajné kódy a vyberte Přidat.

3. Výběr možnosti Generovat/Importovat

4. Na obrazovce Vytvořit tajný kód ponechejte v možnostech pro nahrání vybranou možnost Ruční.

5. Zadejte název a hodnotu tajného kódu.  Může jít o libovolnou hodnotu. 

6. Nechte datum aktivace i datum konce platnosti nevyplněné a Povoleno nechte nastavené na Ano. 

7. Vyberte Vytvořit a vytvořte tajný kód.

   

Udělení přístupu

Spravovaná identita používaná virtuálním počítačem musí mít udělený přístup ke čtení tajného kódu, který budeme ukládat ve službě Key Vault.

1. Přejděte do nově vytvořené služby Key Vault.

2. V nabídce na levé straně vyberte Zásady přístupu.

3. Výběr možnosti Přidat zásadu přístupu

   

4. V části Přidat zásadupřístupu v části Konfigurovat ze šablony (volitelné) zvolte v rozevírací nabídce správa tajných kódů.

5. Zvolte Výběr objektu zabezpečení a do vyhledávacího pole zadejte název dříve vytvořeného virtuálního počítače.  V seznamu výsledků vyberte virtuální počítač a zvolte Vybrat.

6. Vyberte Přidat.

7. Zvolte Uložit.

Přístup k datům

Tato část ukazuje, jak získat přístupový token pomocí identity virtuálního počítače a jak ho použít k načtení tajného kódu ze služby Key Vault. Pokud nemáte nainstalovaný PowerShell 4.3.1 nebo novější, budete si muset stáhnout a nainstalovat nejnovější verzi.

Nejprve použijeme spravovanou identitu přiřazenou systémem virtuálního počítače k získání přístupového tokenu pro ověření ve službě Key Vault:

1. Na portálu přejděte na Virtuální počítače a přejděte na virtuální počítač s Windows a v přehledu vyberte Připojení.
2. Zadejte své Uživatelské jméno a Heslo, které jste přidali při vytváření virtuálního počítače s Windows.  
3. Teď, když jste vytvořili vzdálenou plochu Připojení s virtuálním počítačem, otevřete PowerShell ve vzdálené relaci.  
4. V PowerShellu vyvolejte na tenantovi webový požadavek na získání tokenu pro místního hostitele na konkrétním portu pro virtuální počítač.  

Požadavek PowerShellu:

$Response = Invoke-RestMethod -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fvault.azure.net' -Method GET -Headers @{Metadata="true"} 

Podívejte se, jak odpověď vypadá níže:

Potom z odpovědi extrahujte přístupový token.  

   $KeyVaultToken = $Response.access_token

Nakonec pomocí příkazu Invoke-WebRequest v PowerShellu načtěte tajný kód, který jste ve službě Key Vault vytvořili dříve, předáním přístupového tokenu v autorizační hlavičce.  Budete potřebovat adresu URL své služby Key Vault, kterou najdete na stránce Přehled služby Key Vault v části Základy.  

Invoke-RestMethod -Uri https://<your-key-vault-URL>/secrets/<secret-name>?api-version=2016-10-01 -Method GET -Headers @{Authorization="Bearer $KeyVaultToken"}

Odpověď bude vypadat takto:

  value       id                                                                                    attributes
  -----       --                                                                                    ----------
  'My Secret' https://mi-lab-vault.vault.azure.net/secrets/mi-test/50644e90b13249b584c44b9f712f2e51 @{enabled=True; created=16…

Jakmile ze služby Key Vault načtete tajný kód, můžete ho použít při přihlášení ke službě, která vyžaduje jméno a heslo.

Vyčištění prostředků

Pokud chcete vyčistit prostředky, přihlaste se k webu Azure Portal, vyberte skupiny prostředků, vyhledejte a vyberte skupinu prostředků vytvořenou v procesu tohoto kurzu (například mi-test) a pak použijte příkaz Odstranit skupinu prostředků.

Alternativně můžete prostředky vyčistit také pomocí PowerShellu nebo rozhraní příkazového řádku.

Další kroky

V tomto kurzu jste se naučili používat spravovanou identitu přiřazenou systémem na virtuálním počítači s Windows pro přístup ke službě Azure Key Vault. Další informace o službě Azure Key Vault najdete tady:

Azure Key Vault