Schnellstart: Azure Key Vault-Geheimnisclientbibliothek für Python

  • Artikel

Hier finden Sie Informationen zu den ersten Schritten mit der Azure Key Vault-Geheimnisclientbibliothek für Python. Führen Sie die nachfolgenden Schritte aus, um das Paket zu installieren und den Beispielcode für grundlegende Aufgaben zu testen. Wenn Sie Key Vault zum Speichern von Geheimnissen verwenden, vermeiden Sie das Speichern von Geheimnissen im Code, was die Sicherheit Ihrer App erhöht.

API-Referenzdokumentation | Quellcode der Bibliothek | Paket (Python-Paketindex)

Voraussetzungen

In diesem Schnellstart wird davon ausgegangen, dass Sie die Azure CLI oder Azure PowerShell in einem Linux-Terminalfenster ausführen.

Einrichten Ihrer lokalen Umgebung

In dieser Schnellstartanleitung wird die Azure Identity-Bibliothek mit Azure CLI oder Azure PowerShell verwendet, um den Benutzer bei Azure-Diensten zu authentifizieren. Entwickler können auch Visual Studio oder Visual Studio Code verwenden, um ihre Aufrufe zu authentifizieren. Weitere Informationen finden Sie unter Authentifizieren des Clients mit der Azure Identity-Clientbibliothek.

Anmelden bei Azure

  1. Führen Sie den Befehl az login aus.

    az login

    Die CLI öffnet Ihren Standardbrowser, sofern sie dazu in der Lage ist, und lädt eine Azure-Anmeldeseite.

    Öffnen Sie andernfalls die Browserseite https://aka.ms/devicelogin, und geben Sie den in Ihrem Terminal angezeigten Autorisierungscode ein.

  2. Melden Sie sich im Browser mit Ihren Anmeldeinformationen an.

Installieren der Pakete

  1. Erstellen Sie in einem Terminal oder an einer Eingabeaufforderung einen geeigneten Projektordner, und erstellen und aktivieren Sie dann eine virtuelle Python-Umgebung, wie unter Verwenden von virtuellen Python-Umgebungen beschrieben.

  2. Installieren Sie die Microsoft Entra Identity-Bibliothek:

    pip install azure-identity

  3. Installieren Sie die Key Vault-Geheimnisbibliothek:

    pip install azure-keyvault-secrets

Erstellen einer Ressourcengruppe und eines Schlüsseltresors

  1. Verwenden Sie den Befehl az group create, um eine Ressourcengruppe zu erstellen:

    az group create --name myResourceGroup --location eastus

    Falls gewünscht, können Sie „eastus“ in eine Region ändern, die näher an Ihrem Standort liegt.

  2. Verwenden Sie az keyvault create, um den Schlüsseltresor zu erstellen:

    az keyvault create --name <your-unique-keyvault-name> --resource-group myResourceGroup

    Ersetzen Sie <your-unique-keyvault-name> durch einen Namen, der innerhalb von Azure eindeutig ist. In der Regel verwenden Sie Ihren persönlichen oder Firmennamen zusammen mit Ziffern und anderen Bezeichnern.

Festlegen der Umgebungsvariablen KEY_VAULT_NAME

Unser Skript verwendet den der Umgebungsvariablen KEY_VAULT_NAME zugewiesenen Wert als Namen des Schlüsseltresors. Sie müssen diesen Wert daher mit dem folgenden Befehl festlegen:

export KEY_VAULT_NAME=<your-unique-keyvault-name>

Gewähren des Zugriffs auf Ihren Schlüsseltresor

Um Ihrem Schlüsseltresor über die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) Berechtigungen für Ihre Anwendung zu gewähren, weisen Sie mithilfe des Azure CLI-Befehls az role assignment create eine Rolle zu.

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Ersetzen Sie <app-id>, <subscription-id>, <resource-group-name> und <your-unique-keyvault-name> durch Ihre tatsächlichen Werte. <app-id> ist die Anwendungs-ID (Client-ID) Ihrer registrierten Anwendung in Azure AD.

Erstellen des Beispielcodes

Mit der Azure Key Vault-Geheimnisclientbibliothek für Python können Sie Geheimnisse verwalten. Im folgenden Codebeispiel wird gezeigt, wie Sie einen Client erstellen und ein Geheimnis festlegen, abrufen und löschen.

Erstellen Sie eine Datei mit dem Namen kv_secrets.py, die diesen Code enthält.

import os
from azure.keyvault.secrets import SecretClient
from azure.identity import DefaultAzureCredential

keyVaultName = os.environ["KEY_VAULT_NAME"]
KVUri = f"https://{keyVaultName}.vault.azure.net"

credential = DefaultAzureCredential()
client = SecretClient(vault_url=KVUri, credential=credential)

secretName = input("Input a name for your secret > ")
secretValue = input("Input a value for your secret > ")

print(f"Creating a secret in {keyVaultName} called '{secretName}' with the value '{secretValue}' ...")

client.set_secret(secretName, secretValue)

print(" done.")

print(f"Retrieving your secret from {keyVaultName}.")

retrieved_secret = client.get_secret(secretName)

print(f"Your secret is '{retrieved_secret.value}'.")
print(f"Deleting your secret from {keyVaultName} ...")

poller = client.begin_delete_secret(secretName)
deleted_secret = poller.result()

print(" done.")

Ausführen des Codes

Stellen Sie sicher, dass sich der Code aus dem vorherigen Abschnitt in einer Datei namens kv_secrets.py befindet. Führen Sie den Code dann mithilfe des folgenden Befehls aus:

python kv_secrets.py
  • Wenn Berechtigungsfehler auftreten, stellen Sie sicher, dass Sie den Befehl ,az keyvault set-policy oder Set-AzKeyVaultAccessPolicy ausgeführt haben.
  • Wenn Sie den Code mit demselben Geheimnisnamen erneut ausführen, kann die Fehlermeldung „(Konflikt) Das Geheimnis <Name> befindet sich zurzeit in einem gelöschten, aber wiederherstellbaren Zustand“ angezeigt werden. Verwenden Sie daher einen anderen Geheimnisnamen.

Codedetails

Authentifizieren und Erstellen eines Clients

Anwendungsanforderungen an die meisten Azure-Dienste müssen autorisiert werden. Die Verwendung der von der Azure Identity-Clientbibliothek bereitgestellten Klasse DefaultAzureCredential ist der empfohlene Ansatz zum Implementieren von kennwortlosen Verbindungen mit Azure-Diensten in Ihrem Code. DefaultAzureCredential unterstützt mehrere Authentifizierungsmethoden und bestimmt, welche Methode zur Laufzeit verwendet werden soll. Bei diesem Ansatz kann Ihre App unterschiedliche Authentifizierungsmethoden in verschiedenen Umgebungen (lokal gegenüber Produktion) verwenden, ohne umgebungsspezifischen Code zu implementieren.

In dieser Schnellstartanleitung authentifiziert sich DefaultAzureCredential mit den Anmeldeinformationen des lokalen Entwicklungsbenutzers, der bei der Azure CLI angemeldet ist, beim Schlüsseltresor. Wenn die Anwendung in Azure bereitgestellt wird, kann derselbe DefaultAzureCredential-Code automatisch eine verwaltete Identität ermitteln und verwenden, die App Service, einem virtuellen Computer oder anderen Diensten zugewiesen ist. Weitere Informationen finden Sie in der Übersicht zu verwalteten Identitäten.

Im folgenden Beispiel wird der Name Ihres Schlüsseltresors mit dem Wert der Variable KVUri in den Schlüsseltresor-URI mit dem Format „https://<Ihr-Schlüsseltresorname>.vault.azure.net“ erweitert.

credential = DefaultAzureCredential()
client = SecretClient(vault_url=KVUri, credential=credential)

Speichern eines Geheimnisses

Nachdem Sie das Clientobjekt für den Schlüsseltresor abgerufen haben, können Sie ein Geheimnis mithilfe der set-secret-Methode speichern:

client.set_secret(secretName, secretValue)

Der Aufruf von set_secret generiert einen Aufruf der Azure-REST-API für den Schlüsseltresor.

Wenn Azure die Anforderung bearbeitet, authentifiziert Azure die Identität des Aufrufers (Dienstprinzipal) mithilfe des Anmeldeinformationen-Objekts, das Sie für den Client bereitgestellt haben.

Abrufen eines Geheimnisses

Um ein Geheimnis aus Key Vault zu lesen, verwenden Sie die get_secret-Methode:

retrieved_secret = client.get_secret(secretName)

Der Wert für das Geheimnis ist in retrieved_secret.value enthalten.

Sie können ein Geheimnis auch mit dem Azure CLI-Befehl az keyvault secret show oder dem Azure PowerShell-Cmdlet Get-AzKeyVaultSecret abrufen.

Löschen eines Geheimnisses

Um ein Geheimnis zu löschen, verwenden Sie die begin_delete_secret-Methode:

poller = client.begin_delete_secret(secretName)
deleted_secret = poller.result()

Die begin_delete_secret-Methode ist asynchron und gibt ein Pollerobjekt zurück. Wenn die result-Methode des Pollers aufgerufen wird, wird auf ihren Abschluss gewartet.

Mithilfe des Azure CLI-Befehls az keyvault secret show oder dem Azure PowerShell-Cmdlet Get-AzKeyVaultSecret können Sie sich vergewissern, dass das Geheimnis entfernt wurde.

Nach dem Löschen verbleibt ein Geheimnis für einen bestimmten Zeitraum in einem gelöschten, aber wiederherstellbaren Zustand. Wenn Sie den Code erneut ausführen, verwenden Sie einen anderen Geheimnisnamen.

Bereinigen von Ressourcen

Wenn Sie auch mit Zertifikaten und Schlüsseln experimentieren möchten, können Sie den in diesem Artikel erstellten Key Vault wiederverwenden.

Verwenden Sie andernfalls den folgenden Befehl, um die Ressourcengruppe und alle darin enthaltenen Ressourcen zu löschen, wenn Sie mit die in diesem Artikel erstellten Ressourcen nicht mehr benötigen:

az group delete --resource-group myResourceGroup

Nächste Schritte