Creación de un almacén de claves de Azure mediante una plantilla de Resource Manager

Azure Key Vault es un servicio en la nube que proporciona un lugar seguro para almacenar los secretos (claves, contraseñas y certificados). En este artículo se describe el proceso de implementación de una plantilla de Azure Resource Manager para crear un almacén de claves.

Importante

RBAC de Azure es el modelo de autorización recomendado para Azure Key Vault. Para más información, consulte Azure RBAC para Key Vault. El modelo de directiva de acceso heredado tiene vulnerabilidades de seguridad conocidas y no debe usarse para nuevas implementaciones.

Una plantilla de Azure Resource Manager es un archivo de notación de objetos JavaScript (JSON) que define tanto la infraestructura como la configuración de un proyecto. La plantilla usa sintaxis declarativa. Describes tu implementación prevista sin escribir la secuencia de comandos de programación para crear la implementación.

Prerrequisitos

Para completar los pasos de este artículo:

• Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Creación de una plantilla de Resource Manager para Key Vault

En la plantilla siguiente se muestra una forma básica de crear un almacén de claves. Algunos valores se especifican en la plantilla.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "keyVaultName": {
      "type": "string",
      "metadata": {
        "description": "Specifies the name of the key vault."
      }
    },
    "skuName": {
      "type": "string",
      "defaultValue": "Standard",
      "allowedValues": [
        "Standard",
        "Premium"
      ],
      "metadata": {
        "description": "Specifies whether the key vault is a standard vault or a premium vault."
      }
    }
   },
  "resources": [
    {
      "type": "Microsoft.KeyVault/vaults",
      "apiVersion": "2023-07-01",
      "name": "[parameters('keyVaultName')]",
      "location": "[resourceGroup().location]",
      "properties": {
        "enabledForDeployment": false,
        "enabledForDiskEncryption": false,
        "enabledForTemplateDeployment": false,
        "tenantId": "[subscription().tenantId]",
        "enableRbacAuthorization": true,
        "enableSoftDelete": true,
        "softDeleteRetentionInDays": 90,
        "enablePurgeProtection": true,
        "sku": {
          "name": "[parameters('skuName')]",
          "family": "A"
        },
        "networkAcls": {
          "defaultAction": "Deny",
          "bypass": "AzureServices"
        }
      }
    }
  ]
}

Para obtener más información sobre la configuración de la plantilla de Key Vault, consulte Referencia de plantillas de ARM de Key Vault.

Nota:

Esta plantilla usa RBAC de Azure para la autorización, que es el enfoque recomendado. Para conceder acceso a los datos de Key Vault, asigne roles de Azure RBAC (como Key Vault Secrets Officer o Key Vault Crypto Officer) a usuarios, grupos o entidades de servicio. Para más información, consulte Azure RBAC para Key Vault.

Si necesita usar directivas de acceso heredadas en su lugar, consulte Asignación de una directiva de acceso de Key Vault. Tenga en cuenta que el modelo de directiva de acceso heredado tiene vulnerabilidades de seguridad conocidas y carece de compatibilidad con Privileged Identity Management (PIM).

Más plantillas de Resource Manager para Key Vault

Existen otras plantillas de Resource Manager disponibles para los objetos de Key Vault:

Secretos	Teclas	Certificados
Guía de inicio rápido Referencia	No disponible	No disponible

Puede encontrar más plantillas para Key Vault aquí: Administrador de recursos para Key Vault.

Implementación de las plantillas

Puede usar Azure Portal para implementar las plantillas anteriores con la opción Build your own template in editor (Crear su propia plantilla en el editor), como se describe aquí: Implementación de recursos desde una plantilla personalizada.

También puede guardar las plantillas anteriores en archivos y usar estos comandos: New-AzResourceGroupDeployment y az deployment group create:

New-AzResourceGroupDeployment -ResourceGroupName ExampleGroup -TemplateFile key-vault-template.json

az deployment group create --resource-group ExampleGroup --template-file key-vault-template.json

Limpieza de recursos

Si tiene previsto seguir adelante con los inicios rápidos y tutoriales posteriores, puede conservar estos recursos. Cuando ya no los necesite, elimine el grupo de recursos. Si elimina el grupo, el almacén de claves y los recursos relacionados también se eliminan. Para eliminar el grupo de recursos mediante la CLI de Azure o Azure PowerShell, siga estos pasos:

CLI

echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName &&
echo "Press [ENTER] to continue ..."

PowerShell

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
Remove-AzResourceGroup -Name $resourceGroupName
Write-Host "Press [ENTER] to continue..."

Recursos

• Lea una introducción a Azure Key Vault.
• Obtenga más información sobre Administrador de recursos de Azure.
• Consulte Introducción a la seguridad de Azure Key Vault

Pasos siguientes

• Protección del acceso a un almacén de claves
• Autenticación en un almacén de claves
• Guía del desarrollador de Azure Key Vault