Tutorial: Uso de Azure Key Vault con una máquina virtual en JavaScript

Azure Key Vault le ayuda a proteger claves, secretos y certificados, como claves de API y cadenas de conexión de base de datos.

En este tutorial, configurará una aplicación de Node.js para leer información de Azure Key Vault utilizando identidades administradas para recursos de Azure. Aprenderá a:

• Crear una bóveda de claves
• Almacenar un secreto en Key Vault
• Creación de una máquina virtual Linux de Azure
• Habilitar una identidad administrada para la máquina virtual
• Concesión de los permisos necesarios para que la aplicación de consola lea datos de Key Vault
• Recuperar un secreto de Key Vault

Antes de empezar, lea Key Vault conceptos básicos.

Si no tiene una suscripción de Azure, cree una cuenta free.

Prerequisites

Para Windows, Mac y Linux:

• Git
• Este tutorial requiere que ejecute el CLI de Azure localmente. Debe tener instalada una versión reciente del CLI de Azure. Ejecute az --version para encontrar la versión. Si necesita instalar o actualizar la CLI, consulte Install CLI de Azure.

Iniciar sesión en Azure

Para iniciar sesión en Azure mediante el CLI de Azure, escriba:

az login

Creación de un grupo de recursos y de un almacén de claves

En este inicio rápido se utiliza una bóveda de claves de Azure creada previamente. Puede crear un almacén de claves siguiendo los pasos descritos en estas guías rápidas:

• CLI de Azure inicio rápido
• Azure PowerShell inicio rápido
• Inicio rápido de Azure portal

Como alternativa, puede ejecutar estos comandos CLI de Azure.

Important

Cada almacén de claves debe tener un nombre único. Reemplace <vault-name> por el nombre del almacén de claves en los ejemplos siguientes.

az group create --name "myResourceGroup" -l "EastUS"

az keyvault create --name "<vault-name>" -g "myResourceGroup" --enable-rbac-authorization true

Llena tu bóveda de claves con un secreto

Vamos a crear un secreto llamado mySecret cuyo valor sea ¡Correcto! . Un secreto puede ser una contraseña, una cadena de conexión SQL o cualquier otra información que necesite para mantener la seguridad y la disponibilidad de la aplicación.

Para agregar un secreto al almacén de claves recién creado, use el comando siguiente:

CLI de Azure

az keyvault secret set --vault-name "<vault-name>" --name "mySecret" --value "Success!"

Azure PowerShell

$secret = ConvertTo-SecureString -String 'Success!' -AsPlainText
Set-AzKeyVaultSecret -VaultName "<vault-name>" -Name "mySecret" -SecretValue $secret

Creación de una máquina virtual

Cree una máquina virtual llamada myVM utilizando uno de los siguientes métodos.

Linux	Windows
CLI de Azure	CLI de Azure
PowerShell	PowerShell
Azure portal	El portal de Azure

Para crear una máquina virtual Linux mediante el CLI de Azure, use el comando az vm create. En el ejemplo siguiente se agrega una cuenta de usuario llamada azureuser. El parámetro --generate-ssh-keys se usa para generar automáticamente una clave SSH y colocarla en la ubicación de la clave predeterminada ( ~/.ssh).

az vm create \
  --resource-group <resource-group> \
  --name myVM \
  --image Ubuntu2204 \
  --admin-username azureuser \
  --generate-ssh-keys

Anote el valor de publicIpAddress en la salida.

Asignación de una identidad a la máquina virtual

Cree una identidad asignada por el sistema para la máquina virtual mediante el comando CLI de Azure az vm identity assign:

az vm identity assign --name "myVM" --resource-group "<resource-group>"

Tenga en cuenta la identidad asignada por el sistema que se muestra en el código siguiente. La salida del comando anterior sería:

{
  "systemAssignedIdentity": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "userAssignedIdentities": {}
}

Asignación de permisos a la identidad de máquina virtual

Ahora puede asignar los permisos de la identidad creada anteriormente al almacén de claves mediante la ejecución del comando siguiente:

az role assignment create --role "Key Vault Secrets User" --assignee "<system-assigned-identity>" --scope /subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.KeyVault/vaults/<vault-name>

Inicio de sesión en la máquina virtual

Para iniciar sesión en la máquina virtual, siga las instrucciones de Connect e inicie sesión en una máquina virtual de Azure que ejecuta Linux o Connect e inicie sesión en una máquina virtual de Azure que ejecuta Windows.

Para iniciar sesión en una máquina virtual Linux, puede usar el comando ssh con el <public-ip-address> especificado en el paso Creación de una máquina virtual :

ssh azureuser@<public-ip-address>

Instalación de Node.js y bibliotecas npm en la VM

En la máquina virtual, instale las dos bibliotecas npm que usaremos en nuestro script de JavaScript: @azure/keyvault-secrets y @azure/identity.

1. En el terminal SSH, instale Node.js y npm con los siguientes comandos:

   curl -sL https://deb.nodesource.com/setup_20.x | sudo -E bash - && \
       sudo apt-get install -y nodejs
   

2. Cree un directorio de aplicaciones e inicialice el paquete de Node.js:

   mkdir app && cd app && npm init -y
   

3. Instale los paquetes de servicio de Azure mediante npm:

   npm install @azure/keyvault-secrets @azure/identity
   

Creación y edición del archivo Javascript de ejemplo

1. En la máquina virtual, en el directorio app, cree un archivo JavaScript llamado index.js.

   touch index.js
   

2. Abra el archivo con un editor de texto Nano:

   nano index.js
   

3. Copie el código siguiente, reemplace <vault-name> por el nombre del almacén de claves y péguelo en el editor nano:

   // index.js
   
   const { SecretClient } = require("@azure/keyvault-secrets");
   const { DefaultAzureCredential } = require("@azure/identity");
   
   // Your Azure Key Vault name and secret name
   const keyVaultName = "<vault-name>";
   const keyVaultUri = `https://${keyVaultName}.vault.azure.net`;
   const secretName = "mySecret";
   
   // Authenticate to Azure
   const credential = new DefaultAzureCredential();
   const client = new SecretClient(keyVaultUri, credential);
   
   // Get Secret with Azure SDK for JS
   const getSecret = async (secretName) => {
   
       return (await client.getSecret(secretName)).value;
   }
   
   getSecret(secretName).then(secretValue => {
       console.log(`The value of secret '${secretName}' in '${keyVaultName}' is: '${secretValue}'`);
   }).catch(err => {
       console.log(err);
   })
   

4. Guarde el archivo con Ctrl + x.

5. Cuando aparezca la solicitud Save modified buffer?, escriba y.

6. Cuando aparezca la solicitud File Name to Write: index.js, escriba Enter.

Ejecución de la aplicación Node.js de ejemplo

Por último, ejecute index.js. Si todo ha ido bien, debería devolver el valor de su secreto:

node index.js

The value of secret 'mySecret' in '<vault-name>' is: 'Success!'

Limpieza de recursos

Cuando ya no son necesarios, elimine la máquina virtual y el almacén de claves. Puede hacerlo rápidamente, solo debe eliminar el grupo de recursos al que pertenecen:

az group delete -g "myResourceGroup"

Pasos siguientes

Azure Key Vault API REST