Mulai Cepat: Pustaka klien sertifikat Azure Key Vault untuk Python

  • Artikel

Memulai dengan pustaka klien sertifikat Azure Key Vault untuk Python. Ikuti langkah-langkah berikut untuk menginstal paket dan mencoba contoh kode untuk tugas dasar. Dengan menggunakan Key Vault untuk menyimpan sertifikat, Anda menghindari penyimpanan sertifikat dalam kode yang meningkatkan keamanan aplikasi Anda.

Dokumentasi referensi API | Kode sumber pustaka | Paket (Indeks Paket Python)

Prasyarat

Mulai cepat ini menganggap bahwa Anda menjalankan Azure CLI atau Azure PowerShell di jendela terminal Linux.

Siapkan lingkungan lokal Anda

Mulai cepat ini menggunakan pustaka Azure Identity dengan Azure CLI atau Azure PowerShell untuk mengautentikasi pengguna ke layanan Azure. Pengembang juga dapat menggunakan Visual Studio atau Visual Studio Code untuk mengautentikasi panggilan. Untuk informasi selengkapnya, lihat Mengautentikasi klien dengan pustaka klien Azure Identity.

Masuk ke Azure

  1. Jalankan perintah login.

    az login

    Jika CLI dapat membuka browser default Anda, CLI akan melakukannya dan memuat halaman masuk Azure.

    Jika tidak, buka halaman browser di https://aka.ms/devicelogin dan masukkan kode otorisasi yang ditampilkan di terminal Anda.

  2. Masuk menggunakan kredensial akun Anda di browser.

Menginstal paket

  1. Di terminal atau perintah, buat folder proyek yang sesuai, lalu buat dan aktifkan lingkungan virtual Python seperti yang dijelaskan di Menggunakan lingkungan virtual Python

  2. Instal pustaka identitas Microsoft Entra:

    pip install azure.identity

  3. Instal pustaka klien sertifikat Key Vault:

    pip install azure-keyvault-certificates

Buat grup sumber daya dan brankas kunci

  1. Gunakan perintah az group create untuk membuat grup sumber daya:

    az group create --name myResourceGroup --location eastus

    Anda dapat mengubah "eastus" ke lokasi yang lebih dekat dengan Anda, jika Anda mau.

  2. Gunakan az keyvault create untuk membuat brankas kunci:

    az keyvault create --name <your-unique-keyvault-name> --resource-group myResourceGroup

    Ganti <your-unique-keyvault-name> dengan nama yang unik di seluruh Azure. Anda biasanya menggunakan nama pribadi atau perusahaan bersama dengan nomor dan pengidentifikasi lain.

Atur variabel lingkungan KEY_VAULT_NAME

Skrip kami akan menggunakan nilai yang ditetapkan ke KEY_VAULT_NAME variabel lingkungan sebagai nama brankas kunci. Oleh karena itu Anda harus mengatur nilai ini menggunakan perintah berikut:

export KEY_VAULT_NAME=<your-unique-keyvault-name>

Memberikan akses ke brankas kunci Anda

Untuk memberikan izin aplikasi Anda ke brankas kunci Anda melalui Kontrol Akses Berbasis Peran (RBAC), tetapkan peran menggunakan perintah Azure CLI az role assignment create.

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Ganti <app-id>, <subscription-id>, <resource-group-name> , dan <your-unique-keyvault-name> dengan nilai aktual Anda. <app-id> adalah ID Aplikasi (klien) dari aplikasi terdaftar Anda di Azure AD.

Membuat kode sampel

Pustaka klien sertifikat Azure Key Vault untuk Python mengizinkan Anda mengelola sertifikat. Sampel kode berikut menunjukkan cara membuat klien, mengatur sertifikat, mengambil sertifikat, dan menghapus sertifikat.

Buat file dengan nama kv_certificates.py yang berisi kode ini.

import os
from azure.keyvault.certificates import CertificateClient, CertificatePolicy
from azure.identity import DefaultAzureCredential

keyVaultName = os.environ["KEY_VAULT_NAME"]
KVUri = "https://" + keyVaultName + ".vault.azure.net"

credential = DefaultAzureCredential()
client = CertificateClient(vault_url=KVUri, credential=credential)

certificateName = input("Input a name for your certificate > ")

print(f"Creating a certificate in {keyVaultName} called '{certificateName}' ...")

policy = CertificatePolicy.get_default()
poller = client.begin_create_certificate(certificate_name=certificateName, policy=policy)
certificate = poller.result()

print(" done.")

print(f"Retrieving your certificate from {keyVaultName}.")

retrieved_certificate = client.get_certificate(certificateName)

print(f"Certificate with name '{retrieved_certificate.name}' was found'.")
print(f"Deleting your certificate from {keyVaultName} ...")

poller = client.begin_delete_certificate(certificateName)
deleted_certificate = poller.result()

print(" done.")

Menjalankan kode

Pastikan kode di bagian sebelumnya ada dalam file dengan nama kv_certificates.py. Kemudian jalankan kode dengan perintah berikut:

python kv_certificates.py
  • Jika Anda mengalami kesalahan izin, pastikan Anda menjalankan perintah az keyvault set-policy atau Set-AzKeyVaultAccessPolicy.
  • Menjalankan ulang kode dengan nama kunci yang sama dapat menghasilkan kesalahan, "(Konflik) Nama> sertifikat <saat ini dalam status dihapus tetapi dapat dipulihkan." Gunakan nama kunci yang berbeda.

Detail kode

Mengautentikasi dan membuat klien

Permintaan aplikasi ke sebagian besar layanan Azure harus diotorisasi. Menggunakan kelas DefaultAzureCredential yang disediakan oleh pustaka klien Azure Identity adalah pendekatan yang direkomendasikan untuk menerapkan koneksi tanpa kata sandi ke layanan Azure dalam kode Anda. DefaultAzureCredential mendukung beberapa metode autentikasi dan menentukan metode autentikasi yang harus digunakan saat runtime bahasa umum. Pendekatan ini memungkinkan aplikasi Anda menggunakan metode autentikasi yang berbeda di lingkungan yang berbeda (lokal vs. produksi) tanpa menerapkan kode spesifik per lingkungan.

Dalam mulai cepat ini, DefaultAzureCredential autentikasi ke brankas kunci menggunakan kredensial pengguna pengembangan lokal yang masuk ke Azure CLI. Saat aplikasi disebarkan ke Azure, kode yang sama DefaultAzureCredential dapat secara otomatis menemukan dan menggunakan identitas terkelola yang ditetapkan ke App Service, Komputer Virtual, atau layanan lainnya. Untuk informasi selengkapnya, lihat Gambaran Umum Identitas Terkelola.

Dalam kode contoh, nama brankas kunci Anda diperluas ke URI brankas kunci, dalam format https://\<your-key-vault-name>.vault.azure.net.

credential = DefaultAzureCredential()
client = CertificateClient(vault_url=KVUri, credential=credential)

Menyimpan sertifikat

Setelah mendapatkan objek klien untuk brankas kunci, Anda dapat membuat sertifikat menggunakan metode begin_create_certificate:

policy = CertificatePolicy.get_default()
poller = client.begin_create_certificate(certificate_name=certificateName, policy=policy)
certificate = poller.result()

Di sini, sertifikat memerlukan kebijakan yang diperoleh dengan metode CertificatePolicy.get_default.

Memanggil metode begin_create_certificate menghasilkan panggilan asinkron ke Azure REST API untuk brankas kunci. Panggilan asinkron mengembalikan objek poller. Untuk menunggu hasil operasi, panggil metode result poller.

Saat Azure menangani permintaan, Azure akan mengautentikasi identitas pemanggil (perwakilan layanan) menggunakan objek kredensial yang Anda berikan kepada klien.

Mengambil sertifikat

Untuk membaca sertifikat dari Key Vault, gunakan metode get_certificate:

retrieved_certificate = client.get_certificate(certificateName)

Anda juga dapat memverifikasi bahwa sertifikat telah diatur dengan perintah Azure CLI az keyvault certificate show atau cmdlet Azure PowerShell Get-AzKeyVaultCertificate

Hapus sertifikat

Untuk menghapus sertifikat, gunakan metode begin_delete_certificate:

poller = client.begin_delete_certificate(certificateName)
deleted_certificate = poller.result()

Metode begin_delete_certificate ini asinkron dan mengembalikan objek poller. Memanggil metode result poller menunggu penyelesaiannya.

Anda dapat memverifikasi bahwa sertifikat dihapus dengan perintah Azure CLI az keyvault certificate show atau cmdlet Azure PowerShell Get-AzKeyVaultCertificate.

Setelah dihapus, sertifikat tetap dalam status dihapus, tetapi dapat dipulihkan untuk sementara waktu. Jika Anda menjalankan kode lagi, gunakan nama sertifikat yang berbeda.

Membersihkan sumber daya

Jika Anda juga ingin bereksperimen dengan rahasia dan kunci, Anda dapat menggunakan kembali Key Vault yang dibuat di artikel ini.

Jika tidak, saat Anda selesai dengan sumber daya yang dibuat di artikel ini, gunakan perintah berikut ini untuk menghapus grup sumber daya dan semua sumber daya yang terkandung:

az group delete --resource-group myResourceGroup

Langkah berikutnya