Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este inicio rápido, creará un almacén de claves en Azure Key Vault con la CLI de Azure. Azure Key Vault es un servicio en la nube que funciona como un almacén de secretos seguro. Puede almacenar de forma segura claves, contraseñas, certificados y otros secretos. Para más información sobre Key Vault, puede consultar esta introducción. La CLI de Azure se usa para crear y administrar recursos de Azure mediante comandos o scripts. Una vez que haya terminado, almacenará un secreto.
Si no tiene una cuenta de Azure, cree una cuenta gratuita antes de comenzar.
Prerrequisitos
Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Introducción a Azure Cloud Shell.
Si prefieres ejecutar comandos de referencia CLI localmente, instala la CLI de Azure. Si estás utilizando Windows o macOS, considera ejecutar Azure CLI en un contenedor Docker. Para obtener más información, consulte Cómo ejecutar el Azure CLI en un contenedor de Docker.
Si estás utilizando una instalación local, inicia sesión en Azure CLI utilizando el comando az login. Para finalizar el proceso de autenticación, siga los pasos que se muestran en el terminal. Para ver otras opciones de inicio de sesión, consulte Autenticación en Azure mediante la CLI de Azure.
Cuando se le solicite, instale la extensión de la CLI de Azure en el primer uso. Para obtener más información sobre las extensiones, consulte Uso y administración de extensiones con la CLI de Azure.
Ejecute az version para ver la versión y las bibliotecas dependientes que están instaladas. Para actualizar a la versión más reciente, ejecute az upgrade.
Para realizar este inicio rápido es necesaria la versión 2.0.4 o posterior de la CLI de Azure. Si usa Azure Cloud Shell, la versión más reciente ya está instalada.
Creación de un grupo de recursos
Un grupo de recursos es un contenedor lógico en el que se implementan y se administran los recursos de Azure. Utilice el comando az group create para crear un grupo de recursos denominado myResourceGroup en la ubicación eastus.
az group create --name "myResourceGroup" --location "EastUS"
Crear una bóveda de claves
Use el comando az keyvault create de la CLI de Azure para crear un almacén de claves en el grupo de recursos del paso anterior. Tendrá que proporcionar algo de información:
Nombre del almacén de claves: una cadena de entre 3 y 24 caracteres que puede contener solo números (0-9), letras (a-z, A-Z) y guiones (-)
Importante
Cada almacén de claves debe tener un nombre único. Reemplace <unique-keyvault-name> por el nombre del almacén de claves en los ejemplos siguientes.
Nombre del grupo de recursos: myResourceGroup.
Ubicación: EastUS.
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup"
La salida de este comando muestra las propiedades del almacén de claves que acaba de crear. Tome nota de estas dos propiedades:
- Nombre del almacén: el nombre que proporcionó
--name
al parámetro. - URI del almacén: en este ejemplo, el URI del almacén se https://<el nombre único de keyvault>.vault.azure.net/. Las aplicaciones que utilizan tu bóveda a través de su API REST deben emplear esta URI.
Conceda a su cuenta de usuario los permisos necesarios para administrar secretos en Key Vault
Para obtener permisos para el almacén de claves mediante Control de acceso basado en roles (RBAC), asigne un rol a su "Nombre principal de usuario" (UPN) mediante el comando de la CLI de Azure az role assignment create.
az role assignment create --role "Key Vault Secrets Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Reemplaza <upn>, <subscription-id>, <resource-group-name> y <your-unique-keyvault-name> con tus valores reales. El UPN normalmente tendrá el formato de una dirección de correo electrónico (por ejemplo, username@domain.com).
Añadir un secreto a Key Vault
Para agregar un secreto al almacén, simplemente debe realizar un par de pasos adicionales. Esta contraseña la podría usar una aplicación. La contraseña se denominará ExamplePassword y almacenará el valor hVFkk965BuUv.
Use el comando az keyvault secret set de la CLI de Azure que se muestra a continuación para crear un secreto en Key Vault denominado ExamplePassword que almacenará el valor hVFkk965BuUv:
az keyvault secret set --vault-name "<your-unique-keyvault-name>" --name "ExamplePassword" --value "hVFkk965BuUv"
Recuperar un secreto del almacén de claves
Ahora puede hacer referencia a esta clave que agregó a Azure Key Vault utilizando su URI. Use https://<your-unique-keyvault-name>.vault.azure.net/secrets/ExamplePassword
para obtener la versión actual.
Para ver el valor contenido en el secreto como texto sin formato, use el comando de la CLI de Azure az keyvault secret show:
az keyvault secret show --name "ExamplePassword" --vault-name "<your-unique-keyvault-name>" --query "value"
Ya ha creado una instancia de Key Vault, ha almacenado un secreto y, posteriormente, lo ha recuperado.
Limpieza de recursos
Otras guías de inicio rápido y tutoriales de esta colección se basan en este inicio rápido. Si tiene pensado seguir trabajando en otros inicios rápido y tutoriales, considere la posibilidad de dejar estos recursos activos.
Cuando ya no se necesiten, puede usar el comando az group delete de la CLI de Azure para quitar el grupo de recursos y todos los recursos relacionados.
az group delete --name "myResourceGroup"
Pasos siguientes
En este inicio rápido, ha creado una instancia de Key Vault y ha almacenado un secreto en ella. Para más información sobre Key Vault y cómo integrarlo con las aplicaciones, continúe con los artículos siguientes.
- Lea una introducción a Azure Key Vault.
- Aprenda a almacenar secretos multilínea en Key Vault
- Consulte la referencia de los comandos az keyvault de la CLI de Azure
- Consulte Introducción a la seguridad de Azure Key Vault