Rövid útmutató: Azure Key Vault titkos ügyfélkódtár JavaScripthez
Ismerkedés a JavaScripthez készült Azure Key Vault titkos ügyfélkódtárával. Az Azure Key Vault egy felhőalapú szolgáltatás, amely biztonságos tárat biztosít a titkos kódokhoz. Biztonságosan tárolhatja kulcsait, jelszavait, tanúsítványait és egyéb titkos adatait. Az Azure-kulcstartók létrehozhatók és kezelhetők az Azure Portal segítségével is. Ebben a rövid útmutatóban megtudhatja, hogyan hozhat létre, kérdezhet le és törölhet titkos kulcsokat egy Azure-kulcstartóból a JavaScript-ügyfélkódtár használatával
Key Vault ügyfélkódtár erőforrásai:
API-referenciadokumentáció Kódtár forráskódcsomagja | (npm) |
További információ a Key Vaultról és a titkos kódokról:
Előfeltételek
- Azure-előfizetés – hozzon létre egyet ingyenesen.
- Aktuális Node.js LTS.
- Azure CLI
- Meglévő Key Vault – az alábbiak használatával hozhat létre egyet:
Ez a rövid útmutató feltételezi, hogy az Azure CLI-t futtatja.
Bejelentkezés az Azure-ba
Futtassa a következő parancsot:
login
.az login
Ha a parancssori felület meg tudja nyitni az alapértelmezett böngészőt, az meg fogja tenni, és betölt egy Azure-bejelentkezési lapot.
Ellenkező esetben nyisson meg egy böngészőlapot, https://aka.ms/devicelogin és adja meg a terminálban megjelenő engedélyezési kódot.
A böngészőben jelentkezzen be fiókja hitelesítő adataival.
Új Node.js alkalmazás létrehozása
Hozzon létre egy Node.js alkalmazást, amely a kulcstartót használja.
Egy terminálban hozzon létre egy mappát,
key-vault-node-app
és váltson az adott mappára:mkdir key-vault-node-app && cd key-vault-node-app
Inicializálja a Node.js projektet:
npm init -y
Key Vault-csomagok telepítése
A terminál használatával telepítse az Azure Key Vault titkos ügyfélkódtárát, @azure/keyvault-secrets Node.js.
npm install @azure/keyvault-secrets
Telepítse az Azure Identity ügyfélkódtárát, @azure/identitáscsomagot a Key Vaultban való hitelesítéshez.
npm install @azure/identity
Hozzáférés biztosítása a kulcstartóhoz
Ha szerepköralapú hozzáférés-vezérléssel (RBAC) szeretne engedélyt adni az alkalmazásnak a kulcstartóhoz, rendeljen hozzá egy szerepkört az az role assignment create Azure CLI paranccsal.
az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Cserélje le <az alkalmazásazonosítót>, <az előfizetés-azonosítót>, <az erőforráscsoport nevét> és <az egyedi-kulcsvault-nevét> a tényleges értékekre. <Az app-id> a regisztrált alkalmazás (ügyfél) azonosítója az Azure AD-ben.
Környezeti változók beállítása
Ez az alkalmazás a Key Vault nevét használja környezeti változóként.KEY_VAULT_NAME
set KEY_VAULT_NAME=<your-key-vault-name>
Ügyfél hitelesítése és létrehozása
A legtöbb Azure-szolgáltatáshoz irányuló alkalmazáskéréseket engedélyezni kell. Az Azure Identity ügyfélkódtár által biztosított DefaultAzureCredential metódus használata ajánlott módszer az Azure-szolgáltatások jelszó nélküli kapcsolatainak implementálásához a kódban. DefaultAzureCredential
több hitelesítési módszert támogat, és meghatározza, hogy melyik metódust kell használni futásidőben. Ez a megközelítés lehetővé teszi, hogy az alkalmazás különböző hitelesítési módszereket használjon különböző környezetekben (helyi és éles környezetben) környezetspecifikus kód implementálása nélkül.
Ebben a rövid útmutatóban DefaultAzureCredential
az Azure CLI-be bejelentkezett helyi fejlesztő felhasználó hitelesítő adataival hitelesíti a Key Vaultot. Az alkalmazás Azure-ban való üzembe helyezésekor ugyanaz DefaultAzureCredential
a kód automatikusan felderítheti és használhat egy App Service-hez, virtuális géphez vagy más szolgáltatáshoz hozzárendelt felügyelt identitást. További információ: Felügyelt identitás áttekintése.
Ebben a kódban a kulcstartó neve a kulcstartó URI-jának létrehozására szolgál, a formátumban https://<your-key-vault-name>.vault.azure.net
. A Key Vaultba való hitelesítésről további információt a fejlesztői útmutatóban talál.
Mintakód
Az alábbi kódminták bemutatják, hogyan hozhat létre ügyfelet, állíthat be egy titkos kulcsot, lekérhet egy titkos kulcsot, és törölheti a titkos kulcsokat.
Ez a kód a következő Key Vault titkososztályokat és metódusokat használja:
Az alkalmazás-keretrendszer beállítása
Hozzon létre új szövegfájlt, és illessze be a következő kódot a index.js fájlba.
const { SecretClient } = require("@azure/keyvault-secrets"); const { DefaultAzureCredential } = require("@azure/identity"); async function main() { // If you're using MSI, DefaultAzureCredential should "just work". // Otherwise, DefaultAzureCredential expects the following three environment variables: // - AZURE_TENANT_ID: The tenant ID in Azure Active Directory // - AZURE_CLIENT_ID: The application (client) ID registered in the AAD tenant // - AZURE_CLIENT_SECRET: The client secret for the registered application const credential = new DefaultAzureCredential(); const keyVaultName = process.env["KEY_VAULT_NAME"]; if(!keyVaultName) throw new Error("KEY_VAULT_NAME is empty"); const url = "https://" + keyVaultName + ".vault.azure.net"; const client = new SecretClient(url, credential); // Create a secret // The secret can be a string of any kind. For example, // a multiline text block such as an RSA private key with newline characters, // or a stringified JSON object, like `JSON.stringify({ mySecret: 'MySecretValue'})`. const uniqueString = new Date().getTime(); const secretName = `secret${uniqueString}`; const result = await client.setSecret(secretName, "MySecretValue"); console.log("result: ", result); // Read the secret we created const secret = await client.getSecret(secretName); console.log("secret: ", secret); // Update the secret with different attributes const updatedSecret = await client.updateSecretProperties(secretName, result.properties.version, { enabled: false }); console.log("updated secret: ", updatedSecret); // Delete the secret immediately without ability to restore or purge. await client.beginDeleteSecret(secretName); } main().catch((error) => { console.error("An error occurred:", error); process.exit(1); });
A mintaalkalmazás futtatása
Futtassa az alkalmazást:
node index.js
A létrehozási és lekérési metódusok egy teljes JSON-objektumot adnak vissza a titkos kódhoz:
{ "value": "MySecretValue", "name": "secret1637692472606", "properties": { "createdOn": "2021-11-23T18:34:33.000Z", "updatedOn": "2021-11-23T18:34:33.000Z", "enabled": true, "recoverableDays": 90, "recoveryLevel": "Recoverable+Purgeable", "id": "https: //YOUR-KEYVAULT-NAME.vault.azure.net/secrets/secret1637692472606/YOUR-VERSION", "vaultUrl": "https: //YOUR-KEYVAULT-NAME.vault.azure.net", "version": "YOUR-VERSION", "name": "secret1637692472606" } }
A frissítési módszer a tulajdonságok nevét/értékeit adja vissza:
"createdOn": "2021-11-23T18:34:33.000Z", "updatedOn": "2021-11-23T18:34:33.000Z", "enabled": true, "recoverableDays": 90, "recoveryLevel": "Recoverable+Purgeable", "id": "https: //YOUR-KEYVAULT-NAME.vault.azure.net/secrets/secret1637692472606/YOUR-VERSION", "vaultUrl": "https: //YOUR-KEYVAULT-NAME.vault.azure.net", "version": "YOUR-VERSION", "name": "secret1637692472606"
Integráció az alkalmazáskonfigurációval
Az Azure SDK egy segédmetódust, a parseKeyVaultSecretIdentifier metódust biztosít a megadott Key Vault titkos azonosítójának elemzéséhez. Erre akkor van szükség, ha a Key Vault alkalmazáskonfigurációs hivatkozásait használja. Az App Config tárolja a Key Vault titkos kulcsazonosítóját. Az azonosító elemzéséhez a parseKeyVaultSecretIdentifier metódusra van szüksége a titkos kódnév lekéréséhez. Miután megkapta a titkos kód nevét, a rövid útmutatóban szereplő kód használatával lekérheti az aktuális titkos értéket.
Következő lépések
Ebben a rövid útmutatóban létrehozott egy kulcstartót, tárolt egy titkos kulcsot, és lekérte a titkos kulcsot. Ha többet szeretne megtudni a Key Vaultról és az alkalmazásokba való integrálásáról, folytassa az alábbi cikkekkel.