Rövid útmutató: Azure Key Vault-kulcsok ügyfélkódtár a Pythonhoz
Ismerkedés a Pythonhoz készült Azure Key Vault ügyfélkódtárával. Az alábbi lépések végrehajtásával telepítheti a csomagot, és kipróbálhatja az alapműveletek példakódját. A Key Vault titkosítási kulcsok tárolására való használatával elkerülheti az ilyen kulcsok tárolását a kódban, ami növeli az alkalmazás biztonságát.
API-referenciadokumentáció Kódtár forráskódcsomagja | (Python-csomagindex) |
Előfeltételek
- Azure-előfizetés – hozzon létre egyet ingyenesen.
- Python 3.7+
- Azure CLI
Ez a rövid útmutató feltételezi, hogy Az Azure CLI-t vagy az Azure PowerShellt linuxos terminálablakban futtatja.
A helyi környezet beállítása
Ez a rövid útmutató az Azure Identity Library és az Azure CLI vagy az Azure PowerShell használatával hitelesíti a felhasználót az Azure-szolgáltatásokban. A fejlesztők a Visual Studio vagy a Visual Studio Code használatával is hitelesíthetik hívásaikat. További információ: Az ügyfél hitelesítése az Azure Identity ügyfélkódtárával.
Bejelentkezés az Azure-ba
Futtassa a következő parancsot:
login
.az login
Ha a parancssori felület meg tudja nyitni az alapértelmezett böngészőt, az meg fogja tenni, és betölt egy Azure-bejelentkezési lapot.
Ellenkező esetben nyisson meg egy böngészőlapot, https://aka.ms/devicelogin és adja meg a terminálban megjelenő engedélyezési kódot.
A böngészőben jelentkezzen be fiókja hitelesítő adataival.
A csomagok telepítése
Egy terminálban vagy parancssorban hozzon létre egy megfelelő projektmappát, majd hozzon létre és aktiváljon egy Python virtuális környezetet a Python virtuális környezetek használata című témakörben leírtak szerint.
Telepítse a Microsoft Entra identitástárat:
pip install azure-identity
Telepítse a Key Vault kulcsügyfél-kódtárát:
pip install azure-keyvault-keys
Erőforráscsoport és kulcstartó létrehozása
az group create
A parancs használatával hozzon létre egy erőforráscsoportot:az group create --name myResourceGroup --location eastus
Tetszés szerint módosíthatja az "eastus" értékét az Önhöz közelebbi helyre.
A kulcstartó létrehozásához használható
az keyvault create
:az keyvault create --name <your-unique-keyvault-name> --resource-group myResourceGroup
Cserélje le
<your-unique-keyvault-name>
az azure-beli egyedi névre. A személyes vagy céges nevét általában más számokkal és azonosítókkal együtt használja.
A KEY_VAULT_NAME környezeti változó beállítása
A szkript a környezeti változóhoz KEY_VAULT_NAME
rendelt értéket fogja használni a kulcstartó neveként. Ezért ezt az értéket a következő paranccsal kell beállítania:
export KEY_VAULT_NAME=<your-unique-keyvault-name>
Hozzáférés biztosítása a kulcstartóhoz
Ha szerepköralapú hozzáférés-vezérléssel (RBAC) szeretne engedélyeket szerezni a kulcstartóhoz, rendeljen hozzá egy szerepkört a "Felhasználónév" (UPN) szolgáltatáshoz az Az role Assignment Create Azure CLI-paranccsal.
az role assignment create --role "Key Vault Crypto Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Cserélje le <a upn>, <subscription-id>, <resource-group-name> és <your-unique-keyvault-name> értékét a tényleges értékekre. Az UPN általában egy e-mail-cím (pl. username@domain.com) formátumban lesz.
A mintakód létrehozása
A Pythonhoz készült Azure Key Vault-kulcs ügyfélkódtár lehetővé teszi a titkosítási kulcsok kezelését. Az alábbi kódminta bemutatja, hogyan hozhat létre ügyfelet, állíthat be egy kulcsot, hogyan kérdezhet le és törölhet egy kulcsot.
Hozzon létre egy kv_keys.py nevű fájlt, amely tartalmazza ezt a kódot.
import os
from azure.keyvault.keys import KeyClient
from azure.identity import DefaultAzureCredential
keyVaultName = os.environ["KEY_VAULT_NAME"]
KVUri = "https://" + keyVaultName + ".vault.azure.net"
credential = DefaultAzureCredential()
client = KeyClient(vault_url=KVUri, credential=credential)
keyName = input("Input a name for your key > ")
print(f"Creating a key in {keyVaultName} called '{keyName}' ...")
rsa_key = client.create_rsa_key(keyName, size=2048)
print(" done.")
print(f"Retrieving your key from {keyVaultName}.")
retrieved_key = client.get_key(keyName)
print(f"Key with name '{retrieved_key.name}' was found.")
print(f"Deleting your key from {keyVaultName} ...")
poller = client.begin_delete_key(keyName)
deleted_key = poller.result()
print(" done.")
A kód futtatása
Győződjön meg arról, hogy az előző szakaszban szereplő kód egy kv_keys.py nevű fájlban található. Ezután futtassa a kódot a következő paranccsal:
python kv_keys.py
Ha újrafuttatja a kódot ugyanazzal a kulcsnévvel, a következő hibaüzenet jelenhet meg: "(Ütközés) A kulcs <neve> jelenleg törölt, de helyreállítható állapotban van." Használjon másik kulcsnevet.
Kód részletei
Ügyfél hitelesítése és létrehozása
A legtöbb Azure-szolgáltatáshoz irányuló alkalmazáskéréseket engedélyezni kell. Az Azure Identity ügyfélkódtár által biztosított DefaultAzureCredential osztály használata ajánlott módszer az Azure-szolgáltatások jelszó nélküli kapcsolatainak implementálásához a kódban. DefaultAzureCredential
több hitelesítési módszert támogat, és meghatározza, hogy melyik metódust kell használni futásidőben. Ez a megközelítés lehetővé teszi, hogy az alkalmazás különböző hitelesítési módszereket használjon különböző környezetekben (helyi és éles környezetben) környezetspecifikus kód implementálása nélkül.
Ebben a rövid útmutatóban DefaultAzureCredential
az Azure CLI-be bejelentkezett helyi fejlesztő felhasználó hitelesítő adataival hitelesíti a Key Vaultot. Az alkalmazás Azure-ban való üzembe helyezésekor ugyanaz DefaultAzureCredential
a kód automatikusan felderítheti és használhat egy App Service-hez, virtuális géphez vagy más szolgáltatáshoz hozzárendelt felügyelt identitást. További információ: Felügyelt identitás áttekintése.
A példakódban a kulcstartó neve a változó értékével KVUri
lesz kibontva a következő formátumban: "https://< your-key-vault-name.vault.azure.net>".
credential = DefaultAzureCredential()
client = KeyClient(vault_url=KVUri, credential=credential)
Kulcs mentése
Miután beszerezte a kulcstartó ügyfélobjektumát, tárolhat egy kulcsot a create_rsa_key metódussal:
rsa_key = client.create_rsa_key(keyName, size=2048)
Használhatja create_key vagy create_ec_key is.
A create
metódus meghívása meghívja az Azure REST API-t a kulcstartóhoz.
Amikor az Azure kezeli a kérést, hitelesíti a hívó identitását (a szolgáltatásnevet) az ügyfélnek megadott hitelesítő objektummal.
Kulcs lekérése
Kulcs a Key Vaultból való olvasásához használja a get_key metódust:
retrieved_key = client.get_key(keyName)
Azt is ellenőrizheti, hogy a kulcs be van-e állítva az Azure CLI-paranccsal az az keyvault key show vagy az Azure PowerShell Get-AzKeyVaultKey parancsmaggal.
Kulcs törlése
Kulcs törléséhez használja a begin_delete_key metódust:
poller = client.begin_delete_key(keyName)
deleted_key = poller.result()
A begin_delete_key
metódus aszinkron, és egy poller objektumot ad vissza. A poller metódusának meghívása result
megvárja a befejezését.
A kulcs törlését az Azure CLI-paranccsal, az az keyvault key show-val vagy a Get-AzKeyVaultKey Azure PowerShell-parancsmaggal ellenőrizheti.
A törlés után egy kulcs egy ideig törölt, de helyreállítható állapotban marad. Ha újra futtatja a kódot, használjon másik kulcsnevet.
Az erőforrások eltávolítása
Ha tanúsítványokkal és titkos kódokkal is kísérletezni szeretne, újra felhasználhatja a cikkben létrehozott Key Vaultot.
Ellenkező esetben, ha végzett a cikkben létrehozott erőforrásokkal, az alábbi paranccsal törölje az erőforráscsoportot és az összes benne foglalt erőforrást:
az group delete --resource-group myResourceGroup