Inicio rápido: biblioteca cliente de claves de Azure Key Vault para Python
Introducción a la biblioteca cliente de Azure Key Vault para Python. Siga estos pasos para instalar el paquete y probar el código de ejemplo para realizar tareas básicas. Si usa Key Vault para almacenar claves criptográficas, no tendrá que almacenarlas en el código, lo que aumenta la seguridad de las aplicaciones.
Documentación de referencia de API | Código fuente de la biblioteca | Paquete (índice de paquetes de Python)
Prerrequisitos
- Una suscripción a Azure: cree una cuenta gratuita.
- Python 3.7+
- CLI de Azure
En este inicio rápido se supone que está ejecutando la CLI de Azure o Azure PowerShell en una ventana de terminal de Linux.
Configuración de un entorno local
En este inicio rápido se usa la biblioteca de identidades de Azure con la CLI de Azure o Azure PowerShell para autenticar el usuario en los servicios de Azure. Los desarrolladores también pueden usar Visual Studio o Visual Studio Code para autenticar las llamadas. Para más información, consulte Autenticación del cliente con la biblioteca cliente de Azure Identity.
Inicio de sesión en Azure
Ejecute el comando
login
.az login
Si la CLI puede abrir el explorador predeterminado, lo hará y cargará una página de inicio de sesión de Azure.
En caso contrario, abra una página del explorador en https://aka.ms/devicelogin y escriba el código de autorización que se muestra en el terminal.
Inicie sesión con las credenciales de su cuenta en el explorador.
Instalación de los paquetes
En un símbolo del sistema o en un terminal, cree una carpeta de proyecto adecuada y, después, cree y active un entorno virtual de Python, como se describe en el apartado Uso de entornos virtuales de Python.
Instale la biblioteca de identidades de Microsoft Entra:
pip install azure-identity
Instale la biblioteca cliente de claves de Key Vault:
pip install azure-keyvault-keys
Creación de un grupo de recursos y de un almacén de claves
Uso del comando
az group create
para crear un grupo de recursos:az group create --name myResourceGroup --location eastus
Si lo prefiere, puede cambiar "eastus" a una ubicación más próxima.
Use
az keyvault create
para crear el almacén de claves:az keyvault create --name <your-unique-keyvault-name> --resource-group myResourceGroup
Reemplace
<your-unique-keyvault-name>
por un nombre que sea único en todo Azure. Normalmente, se usa el nombre personal o de la empresa, junto con otros números e identificadores.
Establecimiento de la variable de entorno KEY_VAULT_NAME
Nuestro script usará el valor asignado a la variable de entorno KEY_VAULT_NAME
como el nombre del almacén de claves. Por lo tanto, debe establecer este valor mediante el comando siguiente:
export KEY_VAULT_NAME=<your-unique-keyvault-name>
Concesión de acceso al almacén de claves
Para obtener permisos para el almacén de claves mediante Control de acceso basado en roles (RBAC), asigne un rol a su "Nombre principal de usuario" (UPN) mediante el comando de la CLI de Azure az role assignment create.
az role assignment create --role "Key Vault Crypto Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Reemplace <upn>, <subscription-id>, <resource-group-name> y <your-unique-keyvault-name> por los valores reales. El UPN normalmente tendrá el formato de una dirección de correo electrónico (por ejemplo, username@domain.com).
Creación del código de ejemplo
La biblioteca cliente de claves de Azure Key Vault para Python permite administrar claves criptográficas. El siguiente código de ejemplo muestra cómo crear un cliente y cómo establecer, recuperar y eliminar una clave.
Cree un archivo llamado kv_keys.py que contenga este código.
import os
from azure.keyvault.keys import KeyClient
from azure.identity import DefaultAzureCredential
keyVaultName = os.environ["KEY_VAULT_NAME"]
KVUri = "https://" + keyVaultName + ".vault.azure.net"
credential = DefaultAzureCredential()
client = KeyClient(vault_url=KVUri, credential=credential)
keyName = input("Input a name for your key > ")
print(f"Creating a key in {keyVaultName} called '{keyName}' ...")
rsa_key = client.create_rsa_key(keyName, size=2048)
print(" done.")
print(f"Retrieving your key from {keyVaultName}.")
retrieved_key = client.get_key(keyName)
print(f"Key with name '{retrieved_key.name}' was found.")
print(f"Deleting your key from {keyVaultName} ...")
poller = client.begin_delete_key(keyName)
deleted_key = poller.result()
print(" done.")
Ejecución del código
Asegúrese de que el código de la sección anterior se encuentra en un archivo llamado kv_keys.py. Luego, ejecute el código con el siguiente comando:
python kv_keys.py
Al volver a ejecutar el código con el mismo nombre de clave, se puede producir el error "(Conflict) Key <name> is currently in a deleted but recoverable state". Use otro nombre de clave.
Detalles del código
Autenticación y creación de un cliente
Deben autorizarse las solicitudes de aplicación a la mayor parte de servicios de Azure. El uso de la clase DefaultAzureCredential que proporciona la biblioteca cliente de Azure Identity es el enfoque recomendado para implementar conexiones sin contraseña a los servicios de Azure en el código. DefaultAzureCredential
admite varios métodos de autenticación y determina el que se debe usar en tiempo de ejecución. Este enfoque permite que la aplicación use diferentes métodos de autenticación en distintos entornos (local frente a producción) sin implementar código específico del entorno.
En este inicio rápido, DefaultAzureCredential
se autentica en el almacén de claves mediante las credenciales del usuario de desarrollo local que inició sesión en la CLI de Azure. Cuando la aplicación se implementa en Azure, el mismo código DefaultAzureCredential
puede detectar y usar automáticamente una identidad administrada asignada a una instancia de App Service, máquina virtual u otros servicios. Para más información, consulte Introducción a la identidad administrada.
En el ejemplo siguiente, el nombre del almacén de claves se expande usando el valor de la variable KVUri
, con el formato "https://<nombre-del-almacén-de-claves>.vault.azure.net".
credential = DefaultAzureCredential()
client = KeyClient(vault_url=KVUri, credential=credential)
Guardar una clave
Una vez que haya obtenido el objeto de cliente para el almacén de claves, puede almacenar una clave mediante el método create_rsa_key:
rsa_key = client.create_rsa_key(keyName, size=2048)
También se pueden usar create_key o create_ec_key.
La llamada a un método create
genera una llamada a la API REST de Azure para el almacén de claves.
Cuando Azure administra la solicitud, autentica la identidad del autor de la llamada (la entidad de servicio) mediante el objeto de credencial que proporcionó al cliente.
Recuperación de una clave
Para leer una clave de Key Vault, utilice el método get_key:
retrieved_key = client.get_key(keyName)
También puede comprobar que la clave se ha establecido con el comando az keyvault key show de la CLI de Azure o con el cmdlet Get-AzKeyVaultKey de Azure PowerShell.
Eliminación de una clave
Para eliminar una clave, use el método begin_delete_key:
poller = client.begin_delete_key(keyName)
deleted_key = poller.result()
El método begin_delete_key
es asincrónico y devuelve un objeto de sondeador. La llamada al método result
del sondeador espera hasta su finalización.
Puede comprobar que la clave se elimina con el comando az keyvault key show de la CLI de Azure o con el cmdlet Get-AzKeyVaultKey de Azure PowerShell.
Aun después de haberse eliminado, las claves permanecen en estado eliminado, pero recuperable, durante un tiempo. Si vuelve a ejecutar el código, use otro nombre de clave.
Limpieza de recursos
Si también desea experimentar con certificados y secretos, puede volver a usar la instancia de Key Vault que se ha creado en este artículo.
De lo contrario, cuando haya terminado con los recursos creados en este artículo, utilice el siguiente comando para eliminar el grupo de recursos y todos los recursos que contiene:
az group delete --resource-group myResourceGroup