Mulai Cepat: Pustaka klien rahasia Azure Key Vault untuk Python

  • Artikel

Mulai menggunakan Pustaka klien rahasia Azure Key Vault untuk Python. Ikuti langkah-langkah berikut untuk menginstal paket dan mencoba contoh kode untuk tugas dasar. Dengan menggunakan Key Vault untuk menyimpan rahasia, Anda menghindari penyimpanan rahasia dalam kode, yang meningkatkan keamanan aplikasi Anda.

Dokumentasi referensi API | Kode sumber pustaka | Paket (Indeks Paket Python)

Prasyarat

Mulai cepat ini menganggap bahwa Anda menjalankan Azure CLI atau Azure PowerShell di jendela terminal Linux.

Siapkan lingkungan lokal Anda

Mulai cepat ini menggunakan pustaka Azure Identity dengan Azure CLI atau Azure PowerShell untuk mengautentikasi pengguna ke Azure Services. Pengembang juga dapat menggunakan Visual Studio atau Visual Studio Code untuk mengautentikasi panggilan mereka. Untuk informasi selengkapnya, lihat Mengautentikasi klien dengan pustaka klien Azure Identity.

Masuk ke Azure

  1. Jalankan perintah az login.

    az login

    Jika CLI dapat membuka browser default Anda, CLI akan melakukannya dan memuat halaman masuk Azure.

    Jika tidak, buka halaman browser di https://aka.ms/devicelogin dan masukkan kode otorisasi yang ditampilkan di terminal Anda.

  2. Masuk menggunakan kredensial akun Anda di browser.

Menginstal paket

  1. Di terminal atau prompt perintah, buat folder proyek yang sesuai, lalu buat dan aktifkan lingkungan virtual Python seperti yang dijelaskan di Menggunakan lingkungan virtual Python.

  2. Instal pustaka identitas Microsoft Entra:

    pip install azure-identity

  3. Menginstal pustaka rahasia Key Vault:

    pip install azure-keyvault-secrets

Buat grup sumber daya dan brankas kunci

  1. Gunakan perintah az group create untuk membuat grup sumber daya:

    az group create --name myResourceGroup --location eastus

    Anda dapat mengubah "eastus" ke lokasi yang lebih dekat dengan Anda, jika Anda mau.

  2. Gunakan az keyvault create untuk membuat brankas kunci:

    az keyvault create --name <your-unique-keyvault-name> --resource-group myResourceGroup

    Ganti <your-unique-keyvault-name> dengan nama yang unik di seluruh Azure. Anda biasanya menggunakan nama pribadi atau perusahaan bersama dengan nomor dan pengidentifikasi lain.

Atur variabel lingkungan KEY_VAULT_NAME

Skrip kami akan menggunakan nilai yang ditetapkan ke KEY_VAULT_NAME variabel lingkungan sebagai nama brankas kunci. Oleh karena itu Anda harus mengatur nilai ini menggunakan perintah berikut:

export KEY_VAULT_NAME=<your-unique-keyvault-name>

Memberikan akses ke brankas kunci Anda

Untuk memberikan izin aplikasi Anda ke brankas kunci Anda melalui Kontrol Akses Berbasis Peran (RBAC), tetapkan peran menggunakan perintah Azure CLI az role assignment create.

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Ganti <app-id>, <subscription-id>, <resource-group-name> , dan <your-unique-keyvault-name> dengan nilai aktual Anda. <app-id> adalah ID Aplikasi (klien) dari aplikasi terdaftar Anda di Azure AD.

Membuat kode sampel

Pustaka klien rahasia Azure Key Vault untuk Python memungkinkan Anda mengelola rahasia. Sampel kode di bawah ini menunjukkan cara membuat klien, mengatur rahasia, menampilkan rahasia, dan menghapus rahasia.

Buat file dengan nama kv_secrets.py yang memuat kode ini.

import os
from azure.keyvault.secrets import SecretClient
from azure.identity import DefaultAzureCredential

keyVaultName = os.environ["KEY_VAULT_NAME"]
KVUri = f"https://{keyVaultName}.vault.azure.net"

credential = DefaultAzureCredential()
client = SecretClient(vault_url=KVUri, credential=credential)

secretName = input("Input a name for your secret > ")
secretValue = input("Input a value for your secret > ")

print(f"Creating a secret in {keyVaultName} called '{secretName}' with the value '{secretValue}' ...")

client.set_secret(secretName, secretValue)

print(" done.")

print(f"Retrieving your secret from {keyVaultName}.")

retrieved_secret = client.get_secret(secretName)

print(f"Your secret is '{retrieved_secret.value}'.")
print(f"Deleting your secret from {keyVaultName} ...")

poller = client.begin_delete_secret(secretName)
deleted_secret = poller.result()

print(" done.")

Menjalankan kode

Pastikan kode di bagian sebelumnya ada dalam file dengan nama kv_secrets.py. Kemudian jalankan kode dengan perintah berikut:

python kv_secrets.py
  • Jika Anda mengalami kesalahan izin, pastikan Anda menjalankan perintah az keyvault set-policy atau Set-AzKeyVaultAccessPolicy.
  • Menjalankan ulang kode dengan nama rahasia yang sama dapat menghasilkan kesalahan, "(Konflik) Nama> rahasia <saat ini dalam status dihapus tetapi dapat dipulihkan." Gunakan nama rahasia yang berbeda.

Detail kode

Mengautentikasi dan membuat klien

Permintaan aplikasi ke sebagian besar layanan Azure harus diotorisasi. Menggunakan kelas DefaultAzureCredential yang disediakan oleh pustaka klien Azure Identity adalah pendekatan yang direkomendasikan untuk menerapkan koneksi tanpa kata sandi ke layanan Azure dalam kode Anda. DefaultAzureCredential mendukung beberapa metode autentikasi dan menentukan metode autentikasi yang harus digunakan saat runtime bahasa umum. Pendekatan ini memungkinkan aplikasi Anda menggunakan metode autentikasi yang berbeda di lingkungan yang berbeda (lokal vs. produksi) tanpa menerapkan kode spesifik per lingkungan.

Dalam mulai cepat ini, DefaultAzureCredential autentikasi ke brankas kunci menggunakan kredensial pengguna pengembangan lokal yang masuk ke Azure CLI. Saat aplikasi disebarkan ke Azure, kode yang sama DefaultAzureCredential dapat secara otomatis menemukan dan menggunakan identitas terkelola yang ditetapkan ke App Service, Komputer Virtual, atau layanan lainnya. Untuk informasi selengkapnya, lihat Gambaran Umum Identitas Terkelola.

Dalam contoh kode, nama brankas kunci Anda diperluas menggunakan nilai KVUri variabel, dalam format: "https://< your-key-vault-name.vault.azure.net>".

credential = DefaultAzureCredential()
client = SecretClient(vault_url=KVUri, credential=credential)

Menyimpan rahasia

Setelah mendapatkan objek klien untuk brankas kunci, Anda dapat menyimpan rahasia menggunakan metode set_secret:

client.set_secret(secretName, secretValue)

Panggilan set_secret akan menghasilkan panggilan ke REST API Azure untuk brankas kunci.

Saat Azure menangani permintaan, Azure akan mengautentikasi identitas pemanggil (perwakilan layanan) menggunakan objek kredensial yang Anda berikan kepada klien.

Menampilkan rahasia

Untuk membaca rahasia dari Key Vault, gunakan metode get_secret:

retrieved_secret = client.get_secret(secretName)

Nilai rahasia termuat dalam retrieved_secret.value.

Anda juga dapat mengambil rahasia dengan perintah Azure CLI az keyvault secret show atau cmdlet Azure PowerShell Get-AzKeyVaultSecret.

Menghapus rahasia

Untuk menghapus rahasia, gunakan metode begin_delete_secret:

poller = client.begin_delete_secret(secretName)
deleted_secret = poller.result()

Metode begin_delete_secret ini asinkron dan mengembalikan objek poller. Memanggil metode result poller menunggu penyelesaiannya.

Anda dapat memverifikasi bahwa rahasia telah dihapus dengan perintah Azure CLI az keyvault secret show atau cmdlet Azure PowerShell Get-AzKeyVaultSecret.

Setelah dihapus, rahasia tetap dalam status terhapus namun dapat dipulihkan untuk sementara waktu. Jika Anda menjalankan kode lagi, gunakan nama rahasia lain.

Membersihkan sumber daya

Jika Anda juga ingin bereksperimen dengan sertifikat dan kunci, Anda dapat menggunakan kembali Key Vault yang dibuat di artikel ini.

Jika tidak, saat Anda selesai dengan sumber daya yang dibuat di artikel ini, gunakan perintah berikut ini untuk menghapus grup sumber daya dan semua sumber daya yang terkandung:

az group delete --resource-group myResourceGroup

Langkah berikutnya