Latihan - Membuat Key Vault dan menyimpan rahasia

  • 7 menit

Membuat Key Vault untuk aplikasi Anda

Praktik terbaik adalah membuat vault terpisah untuk setiap lingkungan penyebaran di setiap aplikasi Anda, seperti pengembangan, pengujian, dan produksi. Anda dapat menggunakan satu brankas untuk menyimpan rahasia untuk beberapa aplikasi dan lingkungan, tetapi dampak penyerang mendapatkan akses baca ke brankas akan meningkat dengan sejumlah rahasia di brankas tersebut.

Tip

Jika Anda menggunakan nama yang sama untuk rahasia di berbagai lingkungan untuk sebuah aplikasi, satu-satunya konfigurasi khusus lingkungan yang harus berubah di aplikasi Anda adalah URL brankas.

Membuat brankas tidak memerlukan konfigurasi awal. Identitas pengguna Anda secara otomatis diberikan serangkaian izin manajemen rahasia secara otomatis. Anda dapat segera mulai menambahkan rahasia. Setelah memiliki vault, Anda dapat menambahkan dan mengelola rahasia dari antarmuka administratif Azure apa pun, termasuk portal Azure, Azure CLI, dan Azure PowerShell. Saat menyiapkan aplikasi untuk menggunakan vault, Anda perlu menetapkan izin yang benar untuk aplikasi tersebut, seperti yang dijelaskan di unit berikutnya.

Membuat vault dan menyimpan rahasia di dalamnya

Mengingat semua masalah yang dialih perusahaan dengan rahasia aplikasi, manajemen meminta Anda untuk membuat aplikasi pemula kecil untuk mengatur pengembang lain di jalur yang benar. Aplikasi ini perlu menunjukkan praktik terbaik untuk mengelola rahasia sesederhana dan seaman mungkin.

Untuk memulai, buat vault dan simpan satu rahasia di dalamnya.

Membuat Key Vault

Nama Key Vault harus unik secara global, jadi pilih nama unik. Nama brankas harus memiliki panjang 3-24 karakter dan hanya berisi karakter alfanumerik dan tanda hubung. Catat nama vault yang Anda pilih, karena Anda membutuhkannya sepanjang latihan ini.

Untuk membuat vault Anda, jalankan perintah berikut di Azure Cloud Shell. Pastikan untuk memasukkan nama brankas unik Anda ke parameter --name.

az keyvault create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --location centralus \
    --name <your-unique-vault-name>

Setelah selesai, Anda akan melihat output JSON yang menjelaskan vault baru.

Tip

Perintah ini menggunakan grup sumber daya yang telah dibuat sebelumnya bernama [Grup Sumber Daya sandbox]. Saat mengerjakan langganan Anda sendiri, Anda dapat membuat grup sumber daya baru, atau menggunakan yang sudah ada yang telah Anda buat sebelumnya.

Menambahkan rahasia

Sekarang, tambahkan rahasia. Rahasia kami dinamai SecretPasswordreindeer_flotilladengan nilai . Pastikan untuk mengganti <your-unique-vault-name> dengan nama vault yang Anda buat di parameter --vault-name.

az keyvault secret set \
    --name SecretPassword \
    --value reindeer_flotilla \
    --vault-name <your-unique-vault-name>

Anda akan segera menulis kode untuk aplikasi, tetapi pertama-tama Anda perlu mempelajari sedikit tentang bagaimana aplikasi Anda akan mengautentikasi ke vault.