Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Spravovaný HSM služby Azure Key Vault je plně spravovaná cloudová služba kompatibilní s jedním tenantem s jedním tenantem, která umožňuje chránit kryptografické klíče pro cloudové aplikace pomocí ověřených HSM úrovně 140–2 FIPS 3. Pokud chcete získat další informace o spravovaném HSM služby Azure Key Vault, můžete si projít: Co je spravovaný HSM služby Azure Key Vault?
Balíček @azure/keyvault-admin poskytuje podporu pro úlohy služby Key Vault pro správu, jako je úplné zálohování nebo obnovení a řízení přístupu na základě role na úrovni klíčů (RBAC).
Poznámka: Knihovna pro správu funguje jenom s spravovaným HSM služby Azure Key Vault – funkce, které cílí na službu Key Vault, selžou.
Poznámka: Tento balíček se nedá použít v prohlížeči kvůli omezením služby Azure Key Vault. Pokyny najdete v tomto dokumentu.
Klíčové odkazy:
- Zdrojový kód
- Balíček (npm)
- Referenční dokumentace k rozhraní API
- dokumentace k produktu
- Ukázky
Začínáme
Nainstalujte balíček
Nainstalujte klientskou knihovnu pro správu služby Azure Key Vault pro JavaScript a TypeScript s NPM:
npm install @azure/keyvault-admin
Konfigurace TypeScriptu
Uživatelé TypeScriptu musí mít nainstalované definice typu Node:
npm install @types/node
Musíte také povolit compilerOptions.allowSyntheticDefaultImports ve svém tsconfig.json. Všimněte si, že pokud jste povolili compilerOptions.esModuleInterop, allowSyntheticDefaultImports je ve výchozím nastavení povolená. Další informace najdete v příručce možnosti kompilátoru TypeScriptu.
Aktuálně podporovaná prostředí
Požadavky
- Předplatné Azure
- Existující spravovanéHSM služby Key Vault . Pokud potřebujete vytvořit spravovaný HSM, můžete to udělat pomocí Azure CLI pomocí postupu v tomto dokumentu.
Ověření klienta
Pokud chcete pracovat se službou Azure Key Vault, budete muset vytvořit instanci třídy KeyVaultAccessControlClient nebo třídy KeyVaultBackupClient a také adresu URL trezoru (která se může na webu Azure Portal zobrazit jako název DNS) a objekt přihlašovacích údajů. Příklady uvedené v tomto dokumentu používají objekt přihlašovacích údajů s názvem DefaultAzureCredential, který je vhodný pro většinu scénářů, včetně místního vývojového a produkčního prostředí. Kromě toho doporučujeme použít spravovanou identitu pro ověřování v produkčních prostředích.
Další informace o různých způsobech ověřování a jejich odpovídajících typech přihlašovacích údajů najdete v dokumentaci k dokumentaci k identitě Azure.
Vytvoření KeyVaultAccessControlClient
Po ověření pomocí metodu ověřování, která vám nejlépe vyhovuje, můžete vytvořit KeyVaultAccessControlClient následujícím způsobem a nahradit ji v adrese URL spravovaného HSM v konstruktoru:
import { DefaultAzureCredential } from "@azure/identity";
import { KeyVaultAccessControlClient } from "@azure/keyvault-admin";
const vaultUrl = `https://<MY KEY VAULT HERE>.vault.azure.net`;
const credentials = new DefaultAzureCredential();
const client = new KeyVaultAccessControlClient(vaultUrl, credentials);
Vytvoření KeyVaultBackupClient
Po ověření pomocí metodu ověřování, která vám nejlépe vyhovuje, můžete vytvořit KeyVaultBackupClient následujícím způsobem a nahradit ji v adrese URL spravovaného HSM v konstruktoru:
import { DefaultAzureCredential } from "@azure/identity";
import { KeyVaultBackupClient } from "@azure/keyvault-admin";
const vaultUrl = `https://<MY KEY VAULT HERE>.vault.azure.net`;
const credentials = new DefaultAzureCredential();
const client = new KeyVaultBackupClient(vaultUrl, credentials);
Klíčové koncepty
Definice role_trezoru klíčů
Definice role je kolekce oprávnění. Definice role definuje operace, které je možné provádět, jako je čtení, zápis a odstranění. Může také definovat operace, které jsou vyloučené z povolených operací.
Definice rolí lze uvést a zadat jako součást KeyVaultRoleAssignment.
Přiřazení role_trezoru klíčů
Přiřazení role je přidružení definice role k instančnímu objektu. Dají se vytvářet, vypisovat, načítat jednotlivě a odstraňovat.
Klíč VaultAccessControlClient
KeyVaultAccessControlClient poskytuje operace umožňující správu definic rolí (instancí KeyVaultRoleDefinition) a přiřazení rolí (instancí KeyVaultRoleAssignment).
Klíč VaultBackupClient
KeyVaultBackupClient poskytuje operace pro provádění úplných záloh klíčů, úplných obnovení klíčů a selektivních obnovení klíčů.
Dlouhotrvající operace
Operace provedené KeyVaultBackupClient mohou trvat tolik času, kolik potřebují prostředky Azure, což vyžaduje, aby klientská vrstva sledovala, serializovala a obnovila operace v průběhu životního cyklu programů, které čekají na dokončení. To se provádí prostřednictvím společné abstrakce prostřednictvím balíčku @azure/core-lro.
KeyVaultBackupClient nabízí tři metody, které provádějí dlouhotrvající operace:
-
beginBackupzačne generovat zálohu spravovaného HSM služby Azure Key Vault v zadaném účtu objektu blob služby Storage. -
beginRestore, spustí obnovení všech klíčových materiálů pomocí tokenu SAS odkazujícího na dříve uloženou složku zálohování služby Azure Blob Storage. -
beginSelectiveRestore, spustí obnovení všech verzí klíčů daného klíče pomocí uživatelem zadaného tokenu SAS odkazujícího na dříve uloženou složku zálohování služby Azure Blob Storage.
Metody, které začínají dlouhotrvajícími operacemi, vrací poller, který umožňuje čekat na neomezenou dobu, dokud nebude operace dokončena. Další informace najdete v následujících příkladech.
Příklady
Máme ukázky v JavaScriptu i TypeScriptu, které zobrazují funkce řízení přístupu a zálohování/obnovení v tomto balíčku. Pokud chcete spustit ukázky, postupujte podle odpovídajících readme.
Řešení problémů
Podrobnosti o diagnostice různých scénářů selhání najdete v našem průvodci odstraňováním potíží .
Povolení protokolování může pomoct odhalit užitečné informace o chybách. Pokud chcete zobrazit protokol požadavků a odpovědí HTTP, nastavte proměnnou prostředí AZURE_LOG_LEVEL na info. Případně můžete protokolování povolit za běhu voláním setLogLevel v @azure/logger:
import { setLogLevel } from "@azure/logger";
setLogLevel("info");
Další kroky
Další ukázky kódu najdete na následujících odkazech:
- ukázky správy služby Key Vault (JavaScript)
- Ukázky správy služby Key Vault (TypeScript)
- testovací případy správy služby Key Vault
Přispění
Pokud chcete přispívat do této knihovny, přečtěte si průvodce přispívání a přečtěte si další informace o vytváření a testování kódu.
Spolupracujte s námi na GitHubu
Zdroj tohoto obsahu najdete na GitHubu, kde můžete také vytvářet a kontrolovat problémy a žádosti o přijetí změn. Další informace najdete v našem průvodci pro přispěvatele.
Azure SDK for JavaScript