Inicio rápido: Conexión de servicios de Azure y almacenamiento de secretos en Azure Key Vault

Azure Key Vault es un servicio de almacenamiento seguro de secretos en la nube. Puede almacenar de forma segura claves, contraseñas, certificados y otros secretos. Al crear una conexión de servicio, puede almacenar de forma segura las claves de acceso y los secretos en una instancia de Key Vault conectada. En este tutorial, completará las siguientes tareas desde Azure Portal. Ambos métodos se explican en los siguientes procedimientos.

• Creación de una conexión de servicio a Azure Key Vault en Azure App Service
• Creación de una conexión de servicio a Azure Blob Storage y almacenamiento de secretos en Key Vault
• Visualización de secretos en Key Vault

Requisitos previos

Para crear una conexión de servicio y almacenar secretos en Key Vault con Service Connector, necesita:

• Conocimientos básicos sobre el uso de Service Connector
• Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
• Una aplicación hospedada en App Service. Si aún no tiene una, cree e implemente una aplicación en App Service
• Una instancia de Azure Key Vault. Si no tiene una, cree una cuenta de Azure Key Vault
• Otra instancia de servicio de destino compatible con Service Connector. En este tutorial, se usará Azure Blob Storage
• Acceso de lectura y escritura a App Service, Key Vault y al servicio de destino.

Creación de una conexión de Key Vault en App Service

Para almacenar las claves de acceso de conexión y los secretos en un almacén de claves, empiece por conectar App Service a un almacén de claves.

1. En Azure Portal, escriba App Service en el menú de búsqueda y seleccione el nombre de App Service que desea usar en la lista.

2. Seleccione Service Connector en la tabla de contenido de la izquierda. Seleccione Crear.

3. Seleccione o escriba los siguientes valores.

   Configuración	Valor sugerido	Descripción
   Tipo de servicio.	Key Vault	El tipo de servicio de destino. Si no tiene una instancia de Key Vault, cree una.
   Suscripción	Una de sus suscripciones.	La suscripción en la que se implementa el servicio de destino. El servicio de destino es el servicio al que quiere conectarse. El valor predeterminado es la suscripción que aparece para App Service.
   Nombre de la conexión	El nombre único generado	El nombre de conexión que identifica la conexión entre App Service y el servicio de destino
   Nombre del almacén de claves	Nombre del almacén de claves	Key Vault de destino al que quiere conectarse.
   Tipo de cliente	La misma pila de aplicación de esta instancia de App Service	La pila de aplicación que funciona con el servicio de destino que ha seleccionado. El valor predeterminado procede de la pila en tiempo de ejecución de App Service.

4. Seleccione Siguiente: Autenticación para seleccionar el tipo de autenticación. A continuación, seleccione Identidad administrada asignada por el sistema para conectar Key Vault.

5. Seleccione Siguiente: Red para seleccionar la configuración de red. A continuación, seleccione Habilitar configuración de firewall para actualizar la lista de permitidos del firewall en Key Vault para que App Service pueda acceder a Key Vault.

6. A continuación, seleccione Siguiente: Revisar y crear para revisar la información proporcionada. Seleccione Crear para crear la conexión de servicio. La operación puede tardar 1 minuto en completarse.

Creación de una conexión de Blob Storage en App Service y almacenamiento de claves de acceso en Key Vault

Ahora puede crear una conexión de servicio a otro servicio de destino y almacenar directamente las claves de acceso en una instancia de Key Vault conectada cuando se usa una cadena de conexión, una clave de acceso o una entidad de servicio para la autenticación. Usaremos Blob Storage como ejemplo a continuación. Siga el mismo proceso para otros servicios de destino.

1. En Azure Portal, escriba App Service en el menú de búsqueda y seleccione el nombre de App Service que desea usar en la lista.

2. Seleccione Service Connector en la tabla de contenido de la izquierda. Seleccione Crear.

3. Seleccione o escriba los siguientes valores.

   Configuración	Valor sugerido	Descripción
   Tipo de servicio.	Blob Storage	El tipo de servicio de destino. Si no tiene un contenedor de Storage Blob, puede crearlo o usar otro tipo de servicio.
   Suscripción	Una de sus suscripciones	La suscripción en la que se implementa el servicio de destino. El servicio de destino es el servicio al que quiere conectarse. El valor predeterminado es la suscripción que aparece para App Service.
   Nombre de la conexión	El nombre único generado	El nombre de conexión que identifica la conexión entre App Service y el servicio de destino.
   Cuenta de almacenamiento	Cuenta de almacenamiento	La cuenta de almacenamiento de destino a la que desea conectarse. Si elige otro tipo de servicio, seleccione la instancia del servicio de destino correspondiente.
   Tipo de cliente	La misma pila de aplicación de esta instancia de App Service	La pila de aplicación que funciona con el servicio de destino que ha seleccionado. El valor predeterminado procede de la pila en tiempo de ejecución de App Service.

4. Configuración de la autenticación

   Cadena de conexión

   Seleccione Siguiente: Autenticación para seleccionar el tipo de autenticación y seleccione cadena de conexión para usar una clave de acceso para conectar la cuenta de almacenamiento.

   Configuración	Valor sugerido	Descripción
   Almacenar secretos en Key Vault	Comprobar	Esta opción permite que Service Connector almacene la cadena de conexión o la clave de acceso en Key Vault.
   Conexión de Key Vault	Una de las conexiones de Key Vault	Seleccione la instancia de Key Vault en la que quiere almacenar la cadena de conexión o la clave de acceso.

   Entidad de servicio

   Seleccione Siguiente: Autenticación para seleccionar el tipo de autenticación y seleccione entidad de servicio para usar la entidad de servicio para conectar la cuenta de almacenamiento.

   Configuración	Valor sugerido	Descripción
   Identificador o nombre del objeto de entidad de servicio	Elija la entidad de servicio que quiere usar para conectarse a la instancia de Blob Storage que aparece en la lista	La entidad de servicio de la suscripción que se usa para conectarse al servicio de destino.
   Almacenar secretos en Key Vault	Comprobar	Esta opción permite que Service Connector almacene el identificador y el secreto de la entidad de servicio en Key Vault.
   Conexión de Key Vault	Una de las conexiones de Key Vault	Seleccione la instancia de Key Vault en la que quiere almacenar el identificador y el secreto de la entidad de servicio.

5. Seleccione Siguiente: Red y Habilitar la configuración del firewall para actualizar la lista de permitidos del firewall en Key Vault para que su App Service pueda cubrir a Key Vault.

6. A continuación, seleccione Siguiente: Revisar y crear para revisar la información proporcionada.

7. Seleccione Crear para crear la conexión de servicio. La operación puede tardar hasta un minuto en completarse.

Visualización de la configuración en Key Vault

1. Expanda la conexión de Blob Storage y seleccione El valor está oculto. Haga clic para mostrarlo. Puede ver que el valor es una referencia de Key Vault.

2. Seleccione la instancia de Key Vault en la columna Tipo de servicio de la conexión de Key Vault. Se le redirigirá a la página del portal de Key Vault.

3. Seleccione Secretos en la tabla de la contenido de la izquierda en Key Vault y seleccione el nombre del secreto de Blob Storage.

   Sugerencia

   ¿No tiene permiso para enumerar secretos? Consulte solución de problemas de Azure Key Vault.

4. Seleccione un identificador de versión en la lista Versión actual.

5. Seleccione Mostrar valor secreto para obtener la cadena de conexión de esta conexión de Blob Storage.

Limpieza de recursos

Cuando ya no los necesite, elimine el grupo de recursos y todos los recursos relacionados que se han creado en este tutorial. Para ello, seleccione un grupo de recursos o los recursos individuales que ha creado y seleccione Eliminar.

Pasos siguientes

Aspectos internos de Service Connector