Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
Azure Key Vault es un servicio en la nube que proporciona un lugar seguro para almacenar los secretos (claves, contraseñas y certificados). En este artículo se describe el proceso de implementación de una plantilla de Azure Resource Manager para crear un almacén de claves.
Importante
RBAC de Azure es el modelo de autorización recomendado para Azure Key Vault. Para más información, consulte Azure RBAC para Key Vault. El modelo de directiva de acceso heredado tiene vulnerabilidades de seguridad conocidas y no debe usarse para nuevas implementaciones.
Una plantilla de Azure Resource Manager es un archivo de notación de objetos JavaScript (JSON) que define tanto la infraestructura como la configuración de un proyecto. La plantilla usa sintaxis declarativa. Describes tu implementación prevista sin escribir la secuencia de comandos de programación para crear la implementación.
Prerrequisitos
Para completar los pasos de este artículo:
- Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Creación de una plantilla de Resource Manager para Key Vault
En la plantilla siguiente se muestra una forma básica de crear un almacén de claves. Algunos valores se especifican en la plantilla.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"keyVaultName": {
"type": "string",
"metadata": {
"description": "Specifies the name of the key vault."
}
},
"skuName": {
"type": "string",
"defaultValue": "Standard",
"allowedValues": [
"Standard",
"Premium"
],
"metadata": {
"description": "Specifies whether the key vault is a standard vault or a premium vault."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2023-07-01",
"name": "[parameters('keyVaultName')]",
"location": "[resourceGroup().location]",
"properties": {
"enabledForDeployment": false,
"enabledForDiskEncryption": false,
"enabledForTemplateDeployment": false,
"tenantId": "[subscription().tenantId]",
"enableRbacAuthorization": true,
"enableSoftDelete": true,
"softDeleteRetentionInDays": 90,
"enablePurgeProtection": true,
"sku": {
"name": "[parameters('skuName')]",
"family": "A"
},
"networkAcls": {
"defaultAction": "Deny",
"bypass": "AzureServices"
}
}
}
]
}
Para obtener más información sobre la configuración de la plantilla de Key Vault, consulte Referencia de plantillas de ARM de Key Vault.
Nota:
Esta plantilla usa RBAC de Azure para la autorización, que es el enfoque recomendado. Para conceder acceso a los datos de Key Vault, asigne roles de Azure RBAC (como Key Vault Secrets Officer o Key Vault Crypto Officer) a usuarios, grupos o entidades de servicio. Para más información, consulte Azure RBAC para Key Vault.
Si necesita usar directivas de acceso heredadas en su lugar, consulte Asignación de una directiva de acceso de Key Vault. Tenga en cuenta que el modelo de directiva de acceso heredado tiene vulnerabilidades de seguridad conocidas y carece de compatibilidad con Privileged Identity Management (PIM).
Más plantillas de Resource Manager para Key Vault
Existen otras plantillas de Resource Manager disponibles para los objetos de Key Vault:
| Secretos | Teclas | Certificados |
|---|---|---|
| No disponible | No disponible |
Puede encontrar más plantillas para Key Vault aquí: Administrador de recursos para Key Vault.
Implementación de las plantillas
Puede usar Azure Portal para implementar las plantillas anteriores con la opción Build your own template in editor (Crear su propia plantilla en el editor), como se describe aquí: Implementación de recursos desde una plantilla personalizada.
También puede guardar las plantillas anteriores en archivos y usar estos comandos: New-AzResourceGroupDeployment y az deployment group create:
New-AzResourceGroupDeployment -ResourceGroupName ExampleGroup -TemplateFile key-vault-template.json
az deployment group create --resource-group ExampleGroup --template-file key-vault-template.json
Limpieza de recursos
Si tiene previsto seguir adelante con los inicios rápidos y tutoriales posteriores, puede conservar estos recursos. Cuando ya no los necesite, elimine el grupo de recursos. Si elimina el grupo, el almacén de claves y los recursos relacionados también se eliminan. Para eliminar el grupo de recursos mediante la CLI de Azure o Azure PowerShell, siga estos pasos:
echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName &&
echo "Press [ENTER] to continue ..."
Recursos
- Lea una introducción a Azure Key Vault.
- Obtenga más información sobre Administrador de recursos de Azure.
- Consulte Introducción a la seguridad de Azure Key Vault