Pustaka klien Azure Key Vault Administration untuk JavaScript - versi 4.5.0
Azure Key Vault Managed HSM adalah layanan cloud yang dikelola sepenuhnya, sangat tersedia, penyewa tunggal, sesuai standar yang memungkinkan Anda melindungi kunci kriptografi untuk aplikasi cloud Anda menggunakan HSM tervalidasi FIPS 140-2 Level 3. Jika Anda ingin mengetahui selengkapnya tentang Azure Key Vault Managed HSM, Anda mungkin ingin meninjau: Apa itu Azure Key Vault Managed HSM?
Paket @azure/keyvault-admin ini menyediakan dukungan untuk tugas Key Vault administratif seperti pencadangan/pemulihan penuh dan kontrol akses berbasis peran tingkat kunci (RBAC).
Catatan: Pustaka Administrasi hanya berfungsi dengan Azure Key Vault Managed HSM - fungsi yang menargetkan Key Vault akan gagal.
Catatan: Paket ini tidak dapat digunakan di browser karena keterbatasan layanan Azure Key Vault, silakan lihat dokumen ini untuk panduan.
Tautan utama:
Memulai
Menginstal paket
Instal pustaka klien administrasi Azure Key Vault untuk JavaScript dan TypeScript dengan NPM:
npm install @azure/keyvault-admin
Mengonfigurasi TypeScript
Pengguna TypeScript harus menginstal definisi jenis Node:
npm install @types/node
Anda juga perlu mengaktifkan compilerOptions.allowSyntheticDefaultImports di tsconfig.json Anda. Perhatikan bahwa jika Anda telah mengaktifkan compilerOptions.esModuleInterop, allowSyntheticDefaultImports diaktifkan secara default. Lihat buku pegangan opsi pengkompilasi TypeScript untuk informasi selengkapnya.
Lingkungan yang didukung saat ini
Prasyarat
- Langganan Azure
- HSM Terkelola Key Vault yang ada. Jika Anda perlu membuat HSM Terkelola, Anda bisa melakukannya menggunakan Azure CLI dengan mengikuti langkah-langkah dalam dokumen ini.
Mengautentikasi klien
Untuk berinteraksi dengan layanan Azure Key Vault, Anda harus membuat instans KeyVaultAccessControlClient kelas atau KeyVaultBackupClient kelas, serta url vault (yang mungkin Anda lihat sebagai "Nama DNS" di Portal Microsoft Azure) dan objek kredensial. Contoh yang ditunjukkan dalam dokumen ini menggunakan objek kredensial bernama DefaultAzureCredential, yang sesuai untuk sebagian besar skenario, termasuk lingkungan pengembangan dan produksi lokal. Selain itu, sebaiknya gunakan identitas terkelola untuk autentikasi di lingkungan produksi.
Anda dapat menemukan informasi selengkapnya tentang berbagai cara mengautentikasi dan jenis kredensial terkait dalam dokumentasi Azure Identity.
Membuat KeyVaultAccessControlClient
Setelah mengautentikasi dengan metode autentikasi yang paling sesuai dengan Anda, Anda dapat membuat KeyVaultAccessControlClient sebagai berikut, mengganti di URL HSM Terkelola Anda di konstruktor:
const { DefaultAzureCredential } = require("@azure/identity");
const { KeyVaultAccessControlClient } = require("@azure/keyvault-admin");
const credentials = new DefaultAzureCredential();
const client = new KeyVaultAccessControlClient(`<your Managed HSM URL>`, credentials);
Membuat KeyVaultBackupClient
Setelah mengautentikasi dengan metode autentikasi yang paling sesuai dengan Anda, Anda dapat membuat KeyVaultBackupClient sebagai berikut, mengganti di URL HSM Terkelola Anda di konstruktor:
const { DefaultAzureCredential } = require("@azure/identity");
const { KeyVaultBackupClient } = require("@azure/keyvault-admin");
const credentials = new DefaultAzureCredential();
const client = new KeyVaultBackupClient(`<your Managed HSM URL>`, credentials);
Konsep utama
KeyVaultRoleDefinition
Definisi Peran adalah kumpulan izin. Definisi peran menentukan operasi yang dapat dilakukan, seperti membaca, menulis, dan menghapus. Ini juga dapat menentukan operasi yang dikecualikan dari operasi yang diizinkan.
Definisi peran dapat dicantumkan dan ditentukan sebagai bagian KeyVaultRoleAssignmentdari .
KeyVaultRoleAssignment
Penetapan Peran adalah asosiasi Definisi Peran ke perwakilan layanan. Mereka dapat dibuat, dicantumkan, diambil satu per satu, dan dihapus.
KeyVaultAccessControlClient
menyediakan KeyVaultAccessControlClient operasi yang memungkinkan manajemen Definisi Peran (instans KeyVaultRoleDefinition) dan Penetapan Peran (instans KeyVaultRoleAssignment).
KeyVaultBackupClient
menyediakan KeyVaultBackupClient operasi untuk melakukan pencadangan kunci penuh, pemulihan kunci penuh, dan pemulihan kunci selektif.
Operasi jangka panjang
Operasi yang dilakukan oleh KeyVaultBackupClient mungkin memakan waktu sebanyak yang diperlukan oleh sumber daya Azure, mengharuskan lapisan klien untuk melacak, menserialisasikan, dan melanjutkan operasi melalui siklus hidup program yang menunggu mereka selesai. Ini dilakukan melalui abstraksi umum melalui paket @azure/core-lro.
Menawarkan KeyVaultBackupClient tiga metode yang menjalankan operasi jangka panjang:
beginBackup, mulai menghasilkan cadangan Azure Key Vault Managed HSM pada akun Blob Penyimpanan yang ditentukan.beginRestore, mulai memulihkan semua materi utama menggunakan token SAS yang menunjuk ke folder cadangan penyimpanan Azure Blob yang disimpan sebelumnya.beginSelectiveRestore, mulai memulihkan semua versi kunci dari kunci tertentu menggunakan token SAS yang disediakan pengguna yang menunjuk ke folder cadangan penyimpanan Azure Blob yang disimpan sebelumnya.
Metode yang memulai operasi jangka panjang mengembalikan poller yang memungkinkan Anda untuk menunggu tanpa batas waktu hingga operasi selesai. Informasi lebih lanjut tersedia dalam contoh di bawah ini.
Contoh
Kami memiliki sampel baik di JavaScript maupun TypeScript yang menunjukkan kontrol akses dan fitur pencadangan/pemulihan dalam paket ini. Silakan ikuti readme yang sesuai untuk langkah-langkah terperinci untuk menjalankan sampel.
Pemecahan Masalah
Lihat panduan pemecahan masalah kami untuk detail tentang cara mendiagnosis berbagai skenario kegagalan.
Mengaktifkan pengelogan dapat membantu menemukan informasi yang berguna tentang kegagalan. Untuk melihat log permintaan dan respons HTTP, atur variabel lingkungan AZURE_LOG_LEVEL ke info. Atau, pengelogan dapat diaktifkan saat runtime dengan memanggil setLogLevel di @azure/logger:
const { setLogLevel } = require("@azure/logger");
setLogLevel("info");
Langkah berikutnya
Anda dapat menemukan lebih banyak sampel kode melalui tautan berikut:
- Sampel Administrasi Key Vault (JavaScript)
- Sampel Administrasi Key Vault (TypeScript)
- Kasus Pengujian Administrasi Key Vault
Berkontribusi
Jika Anda ingin berkontribusi pada pustaka ini, baca panduan berkontribusi untuk mempelajari selengkapnya tentang cara membuat dan menguji kode.
Azure SDK for JavaScript
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk