Rövid útmutató: Titkos kulcs beállítása és lekérése az Azure Key Vaultból a PowerShell használatával

  • Cikk

Az Azure Key Vault egy felhőszolgáltatás, amely biztonságos titkoskulcs-tárolóként működik. Biztonságosan tárolhatja kulcsait, jelszavait, tanúsítványait és egyéb titkos adatait. A Key Vaulttal kapcsolatos további információt az Áttekintés szakaszban talál. Ebben a rövid útmutatóban egy kulcstartót hoz létre a PowerShell használatával. Ezután titkos kulcsokat tárolhat az újonnan létrehozott tárolóban.

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Azure Cloud Shell

Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsaival futtathatja a jelen cikkben szereplő kódot anélkül, hogy bármit telepítenie kellene a helyi környezetben.

Az Azure Cloud Shell indítása:

Lehetőség Példa/hivatkozás
Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőség választása nem másolja automatikusan a kódot vagy a parancsot a Cloud Shellbe. Képernyőkép az Azure Cloud Shell kipróbálásának példájáról.
Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben. Gomb az Azure Cloud Shell elindításához.
Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra. Képernyőkép az Azure Portal Cloud Shell gombjáról

Az Azure Cloud Shell használata:

  1. Indítsa el a Cloud Shellt.

  2. A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).

  3. Illessze be a kódot vagy parancsot a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl Shift+V billentyűkombinációval+, vagy a Cmd+Shift+V macOS rendszeren való kiválasztásával.

  4. A kód vagy parancs futtatásához válassza az Enter lehetőséget .

Ha a PowerShell helyi telepítése és használata mellett dönt, ehhez az oktatóanyaghoz az Azure PowerShell-modul 5.0.0-s vagy újabb verziójára van szükség. Írja be Get-Module az -ListAvailable a verziót. Ha frissíteni szeretne, olvassa el az Azure PowerShell-modul telepítését ismertető cikket. Ha helyileg futtatja a PowerShellt, akkor emellett a Connect-AzAccount futtatásával kapcsolatot kell teremtenie az Azure-ral.

Connect-AzAccount

Erőforráscsoport létrehozása

Az erőforráscsoport olyan logikai tároló, amelybe a rendszer üzembe helyezi és kezeli az Azure-erőforrásokat. Az Azure PowerShell New-AzResourceGroup parancsmaggal hozzon létre egy myResourceGroup nevű erőforráscsoportot az Eastus-helyen.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Kulcstartó létrehozása

Az Azure PowerShell New-AzKeyVault parancsmaggal hozzon létre egy Key Vaultot az erőforráscsoportban az előző lépésből. A következő információkat kell megadnia:

  • Kulcstartó neve: 3–24 karakterből álló sztring, amely csak számokat (0-9), betűket (a-z, A-Z) és kötőjeleket (-) tartalmazhat

    Fontos

    Minden kulcstartónak egyedi névvel kell rendelkeznie. Cserélje le <az egyedi-keyvault-nevét> a kulcstartó nevére az alábbi példákban.

  • Erőforráscsoport neve: myResourceGroup.

  • A hely: EastUS.

New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"

Ezzel a parancsmaggal megjelenítheti az újonnan létrehozott kulcstartó tulajdonságait. Jegyezze fel az alábbi két tulajdonságot:

  • Tároló neve: A fenti -Name paraméternek megadott név.
  • Tároló URI: A példában ez https://< your-unique-keyvault-name.vault.azure.net/>. A tárolót a REST API-ján keresztül használó alkalmazásoknak ezt az URI-t kell használniuk.

Az Azure-fiókja jelenleg az egyetlen, amelyik jogosult arra, hogy műveleteket végezzen ezen az új tárolón.

Felhasználói fiók engedélyeinek megadása titkos kulcsok kezeléséhez a Key Vaultban

Ha szerepköralapú hozzáférés-vezérléssel (RBAC) szeretne engedélyt adni az alkalmazásnak a kulcstartóhoz, rendeljen hozzá egy szerepkört a New-AzRoleAssignment Azure PowerShell-parancsmaggal.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets User" -SignInName "<your-email-address>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Cserélje le <az e-mail-címét>, <az előfizetés azonosítóját>, <az erőforráscsoport nevét> és <az egyedi-keyvault-nevét> a tényleges értékekkel. <az ön e-mail-címe> a bejelentkezési neve, ehelyett használhatja a paramétert és a -ObjectId Microsoft Entra Object ID azonosítót.

Titkos kulcs hozzáadása a Key Vaulthoz

Titkos kulcs a tárolóhoz való hozzáadásához csak néhány lépést kell végrehajtania. Ebben az esetben egy alkalmazás által használható jelszót fog megadni. A jelszó neve ExamplePassword, és a hVFkk965BuUv értékét tárolja benne.

Először konvertálja a hVFkk965BuUv értékét biztonságos sztringgé a következő beírással:

$secretvalue = ConvertTo-SecureString "hVFkk965BuUv" -AsPlainText -Force

Ezután az Azure PowerShell Set-AzKeyVaultSecret parancsmaggal hozzon létre egy titkos kulcsot az ExamplePassword nevű Key Vaultban a hVFkk965BuUv értékkel:

$secret = Set-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -SecretValue $secretvalue

Titkos kulcs lekérése a Key Vaultból

A titkos kódban lévő érték egyszerű szövegként való megtekintéséhez használja az Azure PowerShell Get-AzKeyVaultSecret parancsmagot:

$secret = Get-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -AsPlainText

Most létrehozott egy Key Vaultot, tárolt egy titkos kulcsot, és lekérte azt.

Az erőforrások eltávolítása

A gyűjtemény részét képező többi rövid útmutató és oktatóanyag erre a rövid útmutatóra épül. Ha azt tervezi, hogy az ezt követő rövid útmutatókkal és oktatóanyagokkal dolgozik tovább, ne törölje ezeket az erőforrásokat.

Ha már nincs rá szükség, a Remove-AzResourceGroup paranccsal eltávolíthatja az erőforráscsoportot, a Key Vaultot és az összes kapcsolódó erőforrást.

Remove-AzResourceGroup -Name myResourceGroup

Következő lépések

Ebben a rövid útmutatóban létrehozott egy Key Vaultot, és tárolt benne egy titkos kulcsot. Ha többet szeretne megtudni a Key Vaultról és az alkalmazásokba való integrálásáról, folytassa az alábbi cikkekkel.