Rychlý start: Připojení služeb Azure a ukládání tajných kódů ve službě Azure Key Vault

Azure Key Vault je cloudová služba, která funguje jako zabezpečené úložiště tajných kódů. Můžete bezpečně ukládat klíče, hesla, certifikáty a další tajné klíče. Při vytváření připojení služby můžete bezpečně ukládat přístupové klíče a tajné kódy do připojené služby Key Vault. V tomto kurzu provedete následující úlohy pomocí webu Azure Portal. Obě metody jsou vysvětleny v následujících postupech.

• Vytvořte připojení služby k Azure Key Vault ve službě Azure App Service
• Vytvoření připojení služby ke službě Azure Blob Storage a uložení tajných kódů ve službě Key Vault
• Zobrazení tajných kódů ve službě Key Vault

Požadavky

Pokud chcete vytvořit připojení služby a uložit tajné kódy ve službě Key Vault pomocí konektoru služby, potřebujete:

• Základní znalost používání konektoru Service Connector
• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
• Aplikace hostovaná ve službě App Service. Pokud ho ještě nemáte, vytvořte a nasaďte aplikaci do služby App Service.
• Trezor klíčů Azure. Pokud ho nemáte, vytvořte si Azure Key Vault.
• Další instance cílové služby podporovaná konektorem služeb. V tomto kurzu použijete Azure Blob Storage.
• Přístup pro čtení a zápis ke službě App Service, Key Vault a cílové službě.

Vytvoření připojení ke službě Key Vault ve službě App Service

Pokud chcete uložit přístupové klíče a tajné kódy připojení do trezoru klíčů, začněte připojením služby App Service k trezoru klíčů.

1. Na webu Azure Portal zadejte v nabídce hledání službu App Service a ze seznamu vyberte název služby App Service, kterou chcete použít.

2. V levém navigačním panelu vyberte Konektor služby. Pak vyberte Vytvořit.

3. Vyberte nebo zadejte následující nastavení.

   Nastavení	Navrhovaná hodnota	Popis
   Typ služby	Úložiště klíčů Key Vault	Typ cílové služby. Pokud trezor klíčů nemáte, vytvořte ho.
   Předplatné	Jedno z vašich předplatných	Předplatné, ve kterém je vaše cílová služba nasazená. Cílová služba je služba, ke které se chcete připojit. Výchozí hodnota je předplatné uvedené pro službu App Service.
   Název připojení	Vygenerovaný jedinečný název	Název připojení, který identifikuje propojení mezi vaší službou App Service a cílovou službou
   Název trezoru klíčů	Název služby Key Vault	Cílová služba Key Vault, ke které se chcete připojit.
   Typ klienta	Stejný zásobník aplikací v této službě App Service	Váš aplikační stack, který pracuje s cílovou službou, kterou jste vybrali. Výchozí hodnota pochází z prostředí služby App Service.

4. Vyberte Další: Ověřování a vyberte typ ověřování. Pak vyberte spravovanou identitu přiřazenou systémem a připojte službu Key Vault.

5. Vyberte Další: Síť a vyberte konfiguraci sítě. Pak vyberte možnost Povolit nastavení brány firewall, aby se aktualizoval seznam povolených IP adres brány firewall ve službě Key Vault a vaše služba App Service se mohla připojit ke službě Key Vault.

6. Pak vyberte Další: Zkontrolovat a vytvořit , abyste zkontrolovali zadané informace. Výběrem možnosti Vytvořit vytvořte připojení služby. Dokončení operace může trvat jednu minutu.

Vytvoření připojení služby Blob Storage ve službě App Service a uložení přístupových klíčů do služby Key Vault

Teď můžete vytvořit připojení ke službě k jiné cílové službě a přímo ukládat přístupové klíče do připojené služby Key Vault při použití připojovacího řetězce/přístupového klíče nebo identity služby pro autentizaci. Jako příklad níže používáme službu Blob Storage. Postupujte stejně jako u jiných cílových služeb.

1. Na webu Azure Portal zadejte v nabídce hledání službu App Service a ze seznamu vyberte název služby App Service, kterou chcete použít.

2. V levém panelu obsahu vyberte Service Connector. Pak vyberte Vytvořit.

3. Vyberte nebo zadejte následující nastavení.

   Nastavení	Navrhovaná hodnota	Popis
   Typ služby	Úložiště blobů	Typ cílové služby. Pokud nemáte úložný kontejner objektů blob, můžete vytvořit jeden nebo použít jiný typ služby.
   Předplatné	Jedno z vašich předplatných	Předplatné, ve kterém je vaše cílová služba nasazená. Cílová služba je služba, ke které se chcete připojit. Výchozí hodnota je předplatné uvedené pro službu App Service.
   Název připojení	Vygenerovaný jedinečný název	Název připojení, který identifikuje připojení mezi vaší službou App Service a cílovou službou.
   Účet úložiště	Váš účet úložiště	Cílový účet úložiště, ke kterému se chcete připojit. Pokud zvolíte jiný typ služby, vyberte odpovídající cílovou instanci služby.
   Typ klienta	Stejný zásobník aplikací v této službě App Service	Vámi vybraný zásobník aplikací, který funguje s cílovou službou. Výchozí hodnota pochází ze zásobníku běhového prostředí služby App Service.

4. Nastavení ověřování

   Připojovací řetězec

   Důležité

   Microsoft doporučuje používat nejbezpečnější dostupný tok ověřování. Ověřovací tok popsaný v tomto postupu vyžaduje velmi vysoký stupeň důvěryhodnosti v aplikaci a nese rizika, která nejsou přítomna v jiných tocích. Tento tok byste měli použít jenom v případě, že jiné bezpečnější toky, jako jsou spravované identity, nejsou přijatelné.

   Vyberte Další: Ověřování vyberte typ ověřování a vyberte Připojovací řetězec , který použije přístupový klíč pro připojení účtu úložiště.

   Nastavení	Navrhovaná hodnota	Popis
   Uložení tajného kódu do služby Key Vault	Zkontrolovat	Tato možnost umožňuje službě Service Connector uložit připojovací řetězec/přístupový klíč do služby Key Vault.
   Připojení ke službě Key Vault	Jedno z vašich připojení ke službě Key Vault	Vyberte službu Key Vault, do které chcete uložit připojovací řetězec/přístupový klíč.

   Service Principal

   Vyberte Další: Ověření pro výběr typu ověřování a vyberte služební principál pro použití služebního principála k připojení vašeho účtu úložiště.

   Nastavení	Navrhovaná hodnota	Popis
   Identifikátor nebo název objektu Service Principal	V seznamu vyberte aplikační objekt, který chcete použít pro připojení k úložišti Blob Storage.	Služební identita ve vašem předplatném, která slouží k připojení k cílové službě.
   Uložení tajného kódu do služby Key Vault	Zkontrolovat	Tato možnost umožňuje službě Service Connector uložit ID a tajný klíč service principal do služby Key Vault.
   Připojení ke službě Key Vault	Jedno z vašich připojení ke key vaultu	Vyberte Key Vault, ve které chcete uložit ID a tajemství service principal.

5. Vyberte Další: Síť a Povolit nastavení firewallu, abyste mohli aktualizovat seznam povolených v Key Vault, aby služba App Service mohla dosáhnout Key Vault.

6. Pak vyberte Další: Zkontrolovat a vytvořit , abyste zkontrolovali zadané informace.

7. Výběrem možnosti Vytvořit vytvořte připojení služby. Dokončení operace může trvat až jednu minutu.

Zobrazení konfigurace ve službě Key Vault

1. Rozbalte připojení služby Blob Storage a vyberte Skrytá hodnota. Kliknutím zobrazíte hodnotu. Vidíte, že hodnota je odkazem na Key Vault.

2. Ve sloupci Typ služby ve vašem připojení ke službě Key Vault vyberte službu Key Vault. Budete přesměrováni na stránku portálu služby Key Vault.

3. Vyberte Tajné v levém panelu trezoru klíčů a vyberte název tajného klíče pro úložiště objektů blob.

   Tip

   Nemáte oprávnění k vypsání tajemství? Projděte si řešení potíží se službou Azure Key Vault.

4. V seznamu Aktuální verze vyberte ID verze.

5. Výběrem možnosti Zobrazit tajnou hodnotu získáte připojovací řetězec tohoto blobového úložiště.

Uvolnění prostředků

Pokud už ji nepotřebujete, odstraňte skupinu prostředků a všechny související prostředky vytvořené pro účely tohoto kurzu. Uděláte to tak, že vyberete skupinu prostředků nebo jednotlivé prostředky, které jste vytvořili, a vyberete Odstranit.

Další kroky

Interní informace o konektoru služby