Inicio rápido: Biblioteca cliente de certificados de Azure Key Vault para Python

  • Artículo

Introducción a la biblioteca cliente de certificados de Azure Key Vault para Python. Siga estos pasos para instalar el paquete y probar el código de ejemplo para realizar tareas básicas. Si usa Key Vault para almacenar certificados, no tendrá que almacenarlos en el código, lo que aumenta la seguridad de las aplicaciones.

Documentación de referencia de API | Código fuente de la biblioteca | Paquete (índice de paquetes de Python)

Prerrequisitos

En este inicio rápido se supone que está ejecutando la CLI de Azure o Azure PowerShell en una ventana de terminal de Linux.

Configuración de un entorno local

En este inicio rápido se usa la biblioteca de identidades de Azure, junto con la CLI de Azure o Azure PowerShell, para autenticar al usuario en los servicios de Azure. Los desarrolladores también pueden usar Visual Studio o Visual Studio Code para autenticar las llamadas. Para más información, consulte Autenticación del cliente con la biblioteca cliente de Azure Identity.

Inicio de sesión en Azure

  1. Ejecute el comando login.

    az login

    Si la CLI puede abrir el explorador predeterminado, lo hará y cargará una página de inicio de sesión de Azure.

    En caso contrario, abra una página del explorador en https://aka.ms/devicelogin y escriba el código de autorización que se muestra en el terminal.

  2. Inicie sesión con las credenciales de su cuenta en el explorador.

Instalación de los paquetes

  1. En un símbolo del sistema o en un terminal, cree una carpeta de proyecto adecuada y, después, cree y active un entorno virtual de Python, como se describe en el apartado Uso de entornos virtuales de Python

  2. Instale la biblioteca de identidades de Microsoft Entra:

    pip install azure.identity

  3. Instale la biblioteca cliente de certificados de Key Vault:

    pip install azure-keyvault-certificates

Creación de un grupo de recursos y de un almacén de claves

  1. Uso del comando az group create para crear un grupo de recursos:

    az group create --name myResourceGroup --location eastus

    Si lo prefiere, puede cambiar "eastus" a una ubicación más próxima.

  2. Use az keyvault create para crear el almacén de claves:

    az keyvault create --name <your-unique-keyvault-name> --resource-group myResourceGroup

    Reemplace <your-unique-keyvault-name> por un nombre que sea único en todo Azure. Normalmente, se usa el nombre personal o de la empresa, junto con otros números e identificadores.

Establecimiento de la variable de entorno KEY_VAULT_NAME

Nuestro script usará el valor asignado a la variable de entorno KEY_VAULT_NAME como el nombre del almacén de claves. Por lo tanto, debe establecer este valor mediante el comando siguiente:

export KEY_VAULT_NAME=<your-unique-keyvault-name>

Concesión de acceso al almacén de claves

Para conceder permisos de aplicación al almacén de claves a través del control de acceso basado en rol (RBAC), asigne un rol mediante el comando de la CLI de Azure crear la asignación de roles.

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Reemplace <app-id>, <suscripción-id>, <resource-group-name> y <your-unique-keyvault-name> por los valores reales. <app-id> es el identificador de aplicación (cliente) de la aplicación registrada en Azure AD.

Creación del código de ejemplo

La biblioteca cliente de certificados de Azure Key Vault para Python permite administrar certificados. En el siguiente código de ejemplo se muestra cómo crear un cliente, establecer un certificado, recuperar un certificado y eliminar un certificado.

Cree un archivo llamado kv_certificates.py que contenga este código.

import os
from azure.keyvault.certificates import CertificateClient, CertificatePolicy
from azure.identity import DefaultAzureCredential

keyVaultName = os.environ["KEY_VAULT_NAME"]
KVUri = "https://" + keyVaultName + ".vault.azure.net"

credential = DefaultAzureCredential()
client = CertificateClient(vault_url=KVUri, credential=credential)

certificateName = input("Input a name for your certificate > ")

print(f"Creating a certificate in {keyVaultName} called '{certificateName}' ...")

policy = CertificatePolicy.get_default()
poller = client.begin_create_certificate(certificate_name=certificateName, policy=policy)
certificate = poller.result()

print(" done.")

print(f"Retrieving your certificate from {keyVaultName}.")

retrieved_certificate = client.get_certificate(certificateName)

print(f"Certificate with name '{retrieved_certificate.name}' was found'.")
print(f"Deleting your certificate from {keyVaultName} ...")

poller = client.begin_delete_certificate(certificateName)
deleted_certificate = poller.result()

print(" done.")

Ejecución del código

Asegúrese de que el código de la sección anterior se encuentra en un archivo llamado kv_certificates.py. Luego, ejecute el código con el siguiente comando:

python kv_certificates.py
  • Si se producen errores de permisos, asegúrese de que ha ejecutado el comando az keyvault set-policy o Set-AzKeyVaultAccessPolicy.
  • Al volver a ejecutar el código con el mismo nombre de clave, se puede producir el error, "(Conflict) Certificate <name> is currently in a deleted but recoverable state". Use otro nombre de clave.

Detalles del código

Autenticación y creación de un cliente

Deben autorizarse las solicitudes de aplicación a la mayor parte de servicios de Azure. El uso de la clase DefaultAzureCredential que proporciona la biblioteca cliente de Azure Identity es el enfoque recomendado para implementar conexiones sin contraseña a los servicios de Azure en el código. DefaultAzureCredential admite varios métodos de autenticación y determina el que se debe usar en tiempo de ejecución. Este enfoque permite que la aplicación use diferentes métodos de autenticación en distintos entornos (local frente a producción) sin implementar código específico del entorno.

En este inicio rápido, DefaultAzureCredential se autentica en el almacén de claves mediante las credenciales del usuario de desarrollo local que inició sesión en la CLI de Azure. Cuando la aplicación se implementa en Azure, el mismo código DefaultAzureCredential puede detectar y usar automáticamente una identidad administrada asignada a una instancia de App Service, máquina virtual u otros servicios. Para más información, consulte Introducción a la identidad administrada.

En el código siguiente, el nombre del almacén de claves se expande al URI del almacén de claves, con el formato https://\<your-key-vault-name>.vault.azure.net.

credential = DefaultAzureCredential()
client = CertificateClient(vault_url=KVUri, credential=credential)

Guardar certificado

Una vez que haya obtenido el objeto de cliente del almacén de claves, puede crear un certificado con el método begin_create_certificate:

policy = CertificatePolicy.get_default()
poller = client.begin_create_certificate(certificate_name=certificateName, policy=policy)
certificate = poller.result()

Aquí, el certificado requiere una directiva obtenida con el método CertificatePolicy.get_default.

La llamada a un método begin_create_certificate genera una llamada asincrónica a la API REST de Azure para el almacén de claves. Y dicha llamada devuelve un objeto sondeador. Para esperar el resultado de la operación, llame al método result del sondeador.

Cuando Azure administra la solicitud, autentica la identidad del autor de la llamada (la entidad de servicio) mediante el objeto de credencial que proporcionó al cliente.

Recuperación de un certificado

Para leer un certificado de Key Vault, use el método get_certificate:

retrieved_certificate = client.get_certificate(certificateName)

También puede comprobar que el certificado se ha establecido con el comando az keyvault certificate show de la CLI de Azure o con el cmdlet Get-AzKeyVaultCertificate de Azure PowerShell.

Eliminación de un certificado

Para eliminar un certificado, use el método begin_delete_certificate:

poller = client.begin_delete_certificate(certificateName)
deleted_certificate = poller.result()

El método begin_delete_certificate es asincrónico y devuelve un objeto sondeador. La llamada al método result del sondeador espera hasta su finalización.

Puede comprobar que el certificado se ha eliminado con el comando az keyvault certificate show de la CLI de Azure o con el cmdlet Get-AzKeyVaultCertificate de Azure PowerShell.

Aun después de haberse eliminado, los certificados permanecen en estado eliminado, pero recuperable, durante un tiempo. Si vuelve a ejecutar el código, use otro nombre de certificado.

Limpieza de recursos

Si también desea experimentar con secretos y claves, puede volver a usar la instancia de Key Vault que se ha creado en este artículo.

De lo contrario, cuando haya terminado con los recursos creados en este artículo, utilice el siguiente comando para eliminar el grupo de recursos y todos los recursos que contiene:

az group delete --resource-group myResourceGroup

Pasos siguientes