Sdílet prostřednictvím


Rychlý start: Nastavení a načtení tajného klíče ze služby Azure Key Vault pomocí Azure CLI

V tomto rychlém startu vytvoříte trezor klíčů ve službě Azure Key Vault pomocí Azure CLI. Azure Key Vault je cloudová služba, která funguje jako zabezpečené úložiště tajných kódů. Můžete bezpečně ukládat klíče, hesla, certifikáty a další tajné klíče. Další informace o službě Key Vault najdete v tématu Přehled. Azure CLI slouží k vytváření a správě prostředků Azure pomocí příkazů nebo skriptů. Po jeho vytvoření uložíte tajný klíč.

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure před tím, než začnete.

Požadavky

Tento rychlý start vyžaduje verzi 2.0.4 nebo novější azure CLI. Pokud používáte Azure Cloud Shell, je už nainstalovaná nejnovější verze.

Vytvoření skupiny zdrojů

Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí příkazu az group create vytvořte skupinu prostředků myResourceGroup v umístění eastus.

az group create --name "myResourceGroup" --location "EastUS"

Vytvořte trezor klíčů.

Pomocí příkazu az keyvault create v Azure CLI vytvořte ve skupině prostředků službu Key Vault z předchozího kroku. Budete muset zadat několik informací:

  • Název trezoru klíčů: Řetězec 3 až 24 znaků, který může obsahovat pouze čísla (0–9), písmena (a-z, A-Z) a pomlčky (-)

    Důležité

    Každý trezor klíčů musí mít jedinečný název. Nahraďte <název-unique-keyvault-name> názvem vašeho trezoru klíčů v následujících příkladech.

  • Název skupiny prostředků: myResourceGroup.

  • Umístění: EastUS.

az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup"

Výstup tohoto příkazu zobrazuje vlastnosti nově vytvořeného trezoru klíčů. Poznamenejte si tyto dvě vlastnosti:

  • Název trezoru: Název, který jste zadali parametru --name .
  • Identifikátor URI trezoru: V tomto příkladu je identifikátor URI trezoru https://< uru-unique-keyvault-name.vault.azure.net/>. Aplikace, které používají váš trezor prostřednictvím REST API musí používat tento identifikátor URI.

Udělení oprávnění uživatelského účtu ke správě tajných kódů ve službě Key Vault

Pokud chcete získat oprávnění k trezoru klíčů prostřednictvím řízení přístupu na základě role (RBAC), přiřaďte roli k hlavnímu názvu uživatele (UPN) pomocí příkazu Azure CLI az role assignment create.

az role assignment create --role "Key Vault Secrets Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Nahraďte <upn>, <subscription-id>, <resource-group-name> a <your-unique-keyvault-name> skutečnými hodnotami. Hlavní název uživatele (UPN) bude obvykle ve formátu e-mailové adresy (např username@domain.com. ).

Přidání tajného klíče do služby Key Vault

Pokud chcete do trezoru přidat tajný klíč, stačí provést několik dalších kroků. Toto heslo může používat aplikace. Heslo se bude jmenovat ExamplePassword a uloží do něj hodnotu hVFkk965BuUv .

Pomocí příkazu Azure CLI az keyvault secret set níže vytvořte tajný kód ve službě Key Vault s názvem ExamplePassword , do kterého se uloží hodnota hVFkk965BuUv :

az keyvault secret set --vault-name "<your-unique-keyvault-name>" --name "ExamplePassword" --value "hVFkk965BuUv"

Načtení tajného klíče ze služby Key Vault

Nyní na toto heslo, které jste přidali do služby Azure Key Vault, můžete odkazovat pomocí jeho identifikátoru URI. Aktuální verzi získáte pomocí https://<your-unique-keyvault-name>.vault.azure.net/secrets/ExamplePassword.

Pokud chcete zobrazit hodnotu obsaženou v tajném kódu jako prostý text, použijte příkaz Azure CLI az keyvault secret show :

az keyvault secret show --name "ExamplePassword" --vault-name "<your-unique-keyvault-name>" --query "value"

Právě jste vytvořili službu Key Vault, uložili jste tajný klíč a načetli jste ho.

Vyčištění prostředků

Další rychlé starty a kurzy v této kolekci vycházejí z tohoto rychlého startu. Pokud chcete pokračovat v práci s dalšími rychlými starty a kurzy, možná budete chtít tyto prostředky zachovat.

Pokud už ji nepotřebujete, můžete k odebrání skupiny prostředků a všech souvisejících prostředků použít příkaz az group delete v Azure CLI:

az group delete --name "myResourceGroup"

Další kroky

V tomto rychlém startu jste vytvořili službu Key Vault a uložili do ní tajný kód. Další informace o službě Key Vault a její integraci s vašimi aplikacemi najdete v následujících článcích.