Sdílet prostřednictvím

Rychlý start: Klientská knihovna klíčů služby Azure Key Vault pro .NET

  • Článek

Začínáme s klientskou knihovnou klíčů služby Azure Key Vault pro .NET Azure Key Vault je cloudová služba, která poskytuje zabezpečené úložiště kryptografických klíčů. Můžete bezpečně ukládat kryptografické klíče, hesla, certifikáty a další tajné kódy. Trezory klíčů Azure můžete vytvářet a spravovat přes web Azure Portal. V tomto rychlém startu se naučíte vytvářet, načítat a odstraňovat klíče z trezoru klíčů Azure pomocí klientské knihovny klíčů .NET.

Prostředky klientské knihovny klíčů key vaultu:

Referenční dokumentace k | rozhraní API – Balíček zdrojového kódu | knihovny (NuGet)

Další informace o službě Key Vault a klíčích najdete tady:

Požadavky

Tento rychlý start používá dotnet a Azure CLI

Nastavení

V tomto rychlém startu se k ověření uživatele ve službách Azure používá knihovna identit Azure s Azure CLI. Vývojáři můžou také k ověřování volání použít Visual Studio nebo Visual Studio Code. Další informace najdete v tématu Ověřování klienta pomocí klientské knihovny Azure Identity.

Přihlášení k Azure

  1. Spusťte příkaz login.

    az login

    Pokud rozhraní příkazového řádku může otevřít výchozí prohlížeč, provede to a načte přihlašovací stránku Azure.

    V opačném případě otevřete stránku https://aka.ms/devicelogin prohlížeče a zadejte autorizační kód zobrazený v terminálu.

  2. Přihlaste se pomocí přihlašovacích údajů vašeho účtu v prohlížeči.

Udělení přístupu k trezoru klíčů

Pokud chcete aplikaci udělit oprávnění k trezoru klíčů prostřednictvím řízení přístupu na základě role (RBAC), přiřaďte roli pomocí příkazu Azure CLI az role assignment create.

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Nahraďte <app-id>hodnoty <resource-group-name><subscription-id>a <your-unique-keyvault-name> skutečnými hodnotami. <app-id> je ID aplikace (klienta) vaší registrované aplikace v Microsoft Entra.

Vytvoření nové konzolové aplikace .NET

  1. Spuštěním následujícího příkazu v příkazovém prostředí vytvořte projekt s názvem key-vault-console-app:

    dotnet new console --name key-vault-console-app

  2. Přejděte do nově vytvořeného adresáře key-vault-console-app a spuštěním následujícího příkazu sestavte projekt:

    dotnet build

    Výstup sestavení by neměl obsahovat žádná upozornění ani chyby.

    Build succeeded.
 0 Warning(s)
 0 Error(s)

Instalace balíčků

Z příkazového prostředí nainstalujte klientskou knihovnu klíčů služby Azure Key Vault pro .NET:

dotnet add package Azure.Security.KeyVault.Keys

Pro účely tohoto rychlého startu budete také muset nainstalovat klientskou knihovnu Azure Identity:

dotnet add package Azure.Identity

Nastavení proměnných prostředí

Tato aplikace používá název trezoru klíčů jako proměnnou prostředí s názvem KEY_VAULT_NAME.

Windows

set KEY_VAULT_NAME=<your-key-vault-name>

Windows PowerShell

$Env:KEY_VAULT_NAME="<your-key-vault-name>"

macOS nebo Linux

export KEY_VAULT_NAME=<your-key-vault-name>

Objektový model

Klientská knihovna klíčů služby Azure Key Vault pro .NET umožňuje spravovat klíče. Část Příklady kódu ukazuje, jak vytvořit klienta, nastavit klíč, načíst klíč a odstranit klíč.

Příklady kódu

Přidání direktiv

Na začátek Program.cs přidejte následující direktivy:

using System;
using Azure.Identity;
using Azure.Security.KeyVault.Keys;

Ověření a vytvoření klienta

Žádosti o aplikace na většinu služeb Azure musí být autorizované. Použití defaultAzureCredential třídy poskytované klientskou knihovnou Azure Identity je doporučený postup pro implementaci připojení bez hesla ke službám Azure ve vašem kódu. DefaultAzureCredential podporuje více metod ověřování a určuje, která metoda se má použít za běhu. Tento přístup umožňuje vaší aplikaci používat různé metody ověřování v různých prostředích (místní a produkční) bez implementace kódu specifického pro prostředí.

V tomto rychlém startu DefaultAzureCredential se ověří v trezoru klíčů pomocí přihlašovacích údajů místního vývojového uživatele přihlášeného k Azure CLI. Když je aplikace nasazená do Azure, může stejný DefaultAzureCredential kód automaticky zjišťovat a používat spravovanou identitu přiřazenou ke službě App Service, virtuálnímu počítači nebo jiným službám. Další informace najdete v tématu Přehled spravované identity.

V tomto příkladu se název trezoru klíčů rozbalí na identifikátor URI trezoru klíčů ve formátu https://<your-key-vault-name>.vault.azure.net. Další informace o ověřování v trezoru klíčů najdete v příručce pro vývojáře.

var keyVaultName = Environment.GetEnvironmentVariable("KEY_VAULT_NAME");
var kvUri = $"https://{keyVaultName}.vault.azure.net";

var client = new KeyClient(new Uri(kvUri), new DefaultAzureCredential());

Uložení klíče

Pro tuto úlohu použijte metodu CreateKeyAsync . Parametry metody přijímají název klíče a typ klíče.

var key = await client.CreateKeyAsync("myKey", KeyType.Rsa);

Poznámka:

Pokud název klíče existuje, tento kód vytvoří novou verzi tohoto klíče.

Načtení klíče

Pomocí metody GetKeyAsync teď můžete načíst dříve vytvořený klíč.

var key = await client.GetKeyAsync("myKey");

Odstranění klíče

Nakonec odstraníme a vymažeme klíč z trezoru klíčů pomocí metod StartDeleteKeyAsync a PurgeDeletedKeyAsync .

var operation = await client.StartDeleteKeyAsync("myKey");

// You only need to wait for completion if you want to purge or recover the key.
await operation.WaitForCompletionAsync();

var key = operation.Value;
await client.PurgeDeletedKeyAsync("myKey");

Ukázkový kód

Upravte konzolovou aplikaci .NET tak, aby pracovala se službou Key Vault, a to provedením následujících kroků:

  • Nahraďte kód v Program.cs následujícím kódem:

    using System;
using System.Threading.Tasks;
using Azure.Identity;
using Azure.Security.KeyVault.Keys;

namespace key_vault_console_app
{
    class Program
    {
        static async Task Main(string[] args)
        {
            const string keyName = "myKey";
            var keyVaultName = Environment.GetEnvironmentVariable("KEY_VAULT_NAME");
            var kvUri = $"https://{keyVaultName}.vault.azure.net";

            var client = new KeyClient(new Uri(kvUri), new DefaultAzureCredential());

            Console.Write($"Creating a key in {keyVaultName} called '{keyName}' ...");
            var createdKey = await client.CreateKeyAsync(keyName, KeyType.Rsa);
            Console.WriteLine("done.");

            Console.WriteLine($"Retrieving your key from {keyVaultName}.");
            var key = await client.GetKeyAsync(keyName);
            Console.WriteLine($"Your key version is '{key.Value.Properties.Version}'.");

            Console.Write($"Deleting your key from {keyVaultName} ...");
            var deleteOperation = await client.StartDeleteKeyAsync(keyName);
            // You only need to wait for completion if you want to purge or recover the key.
            await deleteOperation.WaitForCompletionAsync();
            Console.WriteLine("done.");

            Console.Write($"Purging your key from {keyVaultName} ...");
            await client.PurgeDeletedKeyAsync(keyName);
            Console.WriteLine(" done.");
        }
    }
}

Testování a ověření

  1. Spuštěním následujícího příkazu sestavte projekt.

    dotnet build

  2. Spuštěním následujícího příkazu spusťte aplikaci.

    dotnet run

  3. Po zobrazení výzvy zadejte hodnotu tajného kódu. Například mySecretPassword.

    Zobrazí se varianta následujícího výstupu:

    Creating a key in mykeyvault called 'myKey' ... done.
Retrieving your key from mykeyvault.
Your key version is '8532359bced24e4bb2525f2d2050738a'.
Deleting your key from jl-kv ... done
Purging your key from <your-unique-keyvault-name> ... done.

Další kroky

V tomto rychlém startu jste vytvořili trezor klíčů, uložili klíč a získali ho.

Další informace o službě Key Vault a její integraci s vašimi aplikacemi najdete v následujících článcích: