Rövid útmutató: Azure Key Vault titkos ügyfélkódtár JavaScripthez

Ismerkedés a JavaScripthez készült Azure Key Vault titkos ügyfélkódtárával. Az Azure Key Vault egy felhőalapú szolgáltatás, amely biztonságos tárat biztosít a titkos kódokhoz. Biztonságosan tárolhatja kulcsait, jelszavait, tanúsítványait és egyéb titkos adatait. Az Azure-kulcstartók létrehozhatók és kezelhetők az Azure Portal segítségével is. Ebben a rövid útmutatóban megtudhatja, hogyan hozhat létre, kérdezhet le és törölhet titkos kulcsokat egy Azure-kulcstartóból a JavaScript-ügyfélkódtár használatával

Key Vault ügyfélkódtár erőforrásai:

API-referenciadokumentáció Kódtár forráskódcsomagja | (npm) |

További információ a Key Vaultról és a titkos kódokról:

• Key Vault – áttekintés
• Titkos kulcsok áttekintése

Előfeltételek

• Azure-előfizetés – hozzon létre egyet ingyenesen.
• Aktuális Node.js LTS.
• Azure CLI
• Meglévő Key Vault – az alábbiak használatával hozhat létre egyet:
  • Azure CLI
  • Azure Portalra
  • Azure PowerShell

Ez a rövid útmutató feltételezi, hogy az Azure CLI-t futtatja.

Bejelentkezés az Azure-ba

1. Futtassa a következő parancsot: login.

   az login
   

   Ha a parancssori felület meg tudja nyitni az alapértelmezett böngészőt, az meg fogja tenni, és betölt egy Azure-bejelentkezési lapot.

   Ellenkező esetben nyisson meg egy böngészőlapot, https://aka.ms/devicelogin és adja meg a terminálban megjelenő engedélyezési kódot.

2. A böngészőben jelentkezzen be fiókja hitelesítő adataival.

Új Node.js alkalmazás létrehozása

Hozzon létre egy Node.js alkalmazást, amely a kulcstartót használja.

1. Egy terminálban hozzon létre egy mappát, key-vault-node-app és váltson az adott mappára:

   mkdir key-vault-node-app && cd key-vault-node-app
   

2. Inicializálja a Node.js projektet:

   npm init -y
   

Key Vault-csomagok telepítése

1. A terminál használatával telepítse az Azure Key Vault titkos ügyfélkódtárát, @azure/keyvault-secrets Node.js.

   npm install @azure/keyvault-secrets
   

2. Telepítse az Azure Identity ügyfélkódtárát, @azure/identitáscsomagot a Key Vaultban való hitelesítéshez.

   npm install @azure/identity
   

Hozzáférés biztosítása a kulcstartóhoz

Azure CLI

Ha szerepköralapú hozzáférés-vezérléssel (RBAC) szeretne engedélyt adni az alkalmazásnak a kulcstartóhoz, rendeljen hozzá egy szerepkört az az role assignment create Azure CLI paranccsal.

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Azure PowerShell

Ha szerepköralapú hozzáférés-vezérléssel (RBAC) szeretne engedélyt adni az alkalmazásnak a kulcstartóhoz, rendeljen hozzá egy szerepkört a New-AzRoleAssignment Azure PowerShell-parancsmaggal.

New-AzRoleAssignment -ObjectId "<app-id>" -RoleDefinitionName "Key Vault Secrets User" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Cserélje le <az alkalmazásazonosítót>, <az előfizetés-azonosítót>, <az erőforráscsoport nevét> és <az egyedi-kulcsvault-nevét> a tényleges értékekre. <Az app-id> a regisztrált alkalmazás (ügyfél) azonosítója az Azure AD-ben.

Környezeti változók beállítása

Ez az alkalmazás a Key Vault nevét használja környezeti változóként.KEY_VAULT_NAME

Windows

set KEY_VAULT_NAME=<your-key-vault-name>

PowerShell

Windows PowerShell

$Env:KEY_VAULT_NAME="<your-key-vault-name>"

macOS vagy Linux

export KEY_VAULT_NAME=<your-key-vault-name>

Ügyfél hitelesítése és létrehozása

A legtöbb Azure-szolgáltatáshoz irányuló alkalmazáskéréseket engedélyezni kell. Az Azure Identity ügyfélkódtár által biztosított DefaultAzureCredential metódus használata ajánlott módszer az Azure-szolgáltatások jelszó nélküli kapcsolatainak implementálásához a kódban. DefaultAzureCredential több hitelesítési módszert támogat, és meghatározza, hogy melyik metódust kell használni futásidőben. Ez a megközelítés lehetővé teszi, hogy az alkalmazás különböző hitelesítési módszereket használjon különböző környezetekben (helyi és éles környezetben) környezetspecifikus kód implementálása nélkül.

Ebben a rövid útmutatóban DefaultAzureCredential az Azure CLI-be bejelentkezett helyi fejlesztő felhasználó hitelesítő adataival hitelesíti a Key Vaultot. Az alkalmazás Azure-ban való üzembe helyezésekor ugyanaz DefaultAzureCredential a kód automatikusan felderítheti és használhat egy App Service-hez, virtuális géphez vagy más szolgáltatáshoz hozzárendelt felügyelt identitást. További információ: Felügyelt identitás áttekintése.

Ebben a kódban a kulcstartó neve a kulcstartó URI-jának létrehozására szolgál, a formátumban https://<your-key-vault-name>.vault.azure.net. A Key Vaultba való hitelesítésről további információt a fejlesztői útmutatóban talál.

Mintakód

Az alábbi kódminták bemutatják, hogyan hozhat létre ügyfelet, állíthat be egy titkos kulcsot, lekérhet egy titkos kulcsot, és törölheti a titkos kulcsokat.

Ez a kód a következő Key Vault titkososztályokat és metódusokat használja:

• DefaultAzureCredential
• SecretClient osztály
  • setSecret
  • getSecret
  • updateSecretProperties
  • beginDeleteSecret

Az alkalmazás-keretrendszer beállítása

1. Hozzon létre új szövegfájlt, és illessze be a következő kódot a index.js fájlba.

   const { SecretClient } = require("@azure/keyvault-secrets");
   const { DefaultAzureCredential } = require("@azure/identity");
   
   async function main() {
     // If you're using MSI, DefaultAzureCredential should "just work".
     // Otherwise, DefaultAzureCredential expects the following three environment variables:
     // - AZURE_TENANT_ID: The tenant ID in Azure Active Directory
     // - AZURE_CLIENT_ID: The application (client) ID registered in the AAD tenant
     // - AZURE_CLIENT_SECRET: The client secret for the registered application
     const credential = new DefaultAzureCredential();
   
     const keyVaultName = process.env["KEY_VAULT_NAME"];
     if(!keyVaultName) throw new Error("KEY_VAULT_NAME is empty");
     const url = "https://" + keyVaultName + ".vault.azure.net";
   
     const client = new SecretClient(url, credential);
   
     // Create a secret
     // The secret can be a string of any kind. For example,
     // a multiline text block such as an RSA private key with newline characters,
     // or a stringified JSON object, like `JSON.stringify({ mySecret: 'MySecretValue'})`.
     const uniqueString = new Date().getTime();
     const secretName = `secret${uniqueString}`;
     const result = await client.setSecret(secretName, "MySecretValue");
     console.log("result: ", result);
   
     // Read the secret we created
     const secret = await client.getSecret(secretName);
     console.log("secret: ", secret);
   
     // Update the secret with different attributes
     const updatedSecret = await client.updateSecretProperties(secretName, result.properties.version, {
       enabled: false
     });
     console.log("updated secret: ", updatedSecret);
   
     // Delete the secret immediately without ability to restore or purge.
     await client.beginDeleteSecret(secretName);
   }
   
   main().catch((error) => {
     console.error("An error occurred:", error);
     process.exit(1);
   });
   

A mintaalkalmazás futtatása

1. Futtassa az alkalmazást:

   node index.js
   

2. A létrehozási és lekérési metódusok egy teljes JSON-objektumot adnak vissza a titkos kódhoz:

   {
       "value": "MySecretValue",
       "name": "secret1637692472606",
       "properties": {
           "createdOn": "2021-11-23T18:34:33.000Z",
           "updatedOn": "2021-11-23T18:34:33.000Z",
           "enabled": true,
           "recoverableDays": 90,
           "recoveryLevel": "Recoverable+Purgeable",
           "id": "https: //YOUR-KEYVAULT-NAME.vault.azure.net/secrets/secret1637692472606/YOUR-VERSION",
           "vaultUrl": "https: //YOUR-KEYVAULT-NAME.vault.azure.net",
           "version": "YOUR-VERSION",
           "name": "secret1637692472606"
       }
   }
   

   A frissítési módszer a tulajdonságok nevét/értékeit adja vissza:

   "createdOn": "2021-11-23T18:34:33.000Z",
   "updatedOn": "2021-11-23T18:34:33.000Z",
   "enabled": true,
   "recoverableDays": 90,
   "recoveryLevel": "Recoverable+Purgeable",
   "id": "https: //YOUR-KEYVAULT-NAME.vault.azure.net/secrets/secret1637692472606/YOUR-VERSION",
   "vaultUrl": "https: //YOUR-KEYVAULT-NAME.vault.azure.net",
   "version": "YOUR-VERSION",
   "name": "secret1637692472606"
   

Integráció az alkalmazáskonfigurációval

Az Azure SDK egy segédmetódust, a parseKeyVaultSecretIdentifier metódust biztosít a megadott Key Vault titkos azonosítójának elemzéséhez. Erre akkor van szükség, ha a Key Vault alkalmazáskonfigurációs hivatkozásait használja. Az App Config tárolja a Key Vault titkos kulcsazonosítóját. Az azonosító elemzéséhez a parseKeyVaultSecretIdentifier metódusra van szüksége a titkos kódnév lekéréséhez. Miután megkapta a titkos kód nevét, a rövid útmutatóban szereplő kód használatával lekérheti az aktuális titkos értéket.

Következő lépések

Ebben a rövid útmutatóban létrehozott egy kulcstartót, tárolt egy titkos kulcsot, és lekérte a titkos kulcsot. Ha többet szeretne megtudni a Key Vaultról és az alkalmazásokba való integrálásáról, folytassa az alábbi cikkekkel.

• Az Azure Key Vault áttekintése
• Az Azure Key Vault titkos kulcsainak áttekintése
• Kulcstartóhoz való hozzáférés biztonságossá tételéhez
• Tekintse meg az Azure Key Vault fejlesztői útmutatóját
• Tekintse át a Key Vault biztonsági áttekintését