Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Key Vault è un servizio cloud che funziona come archivio protetto dei segreti. È possibile archiviare in modo sicuro chiavi, password, certificati e altri segreti. Per ulteriori informazioni su Key Vault, vedere la Panoramica. In questa guida introduttiva si usa Azure PowerShell per creare un Key Vault. Si archivia quindi un segreto nella cassaforte appena creata.
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Azure Cloud Shell
Azure ospita Azure Cloud Shell, un ambiente shell interattivo che è possibile usare tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice contenuto in questo articolo senza dover installare strumenti nell'ambiente locale.
Per avviare Azure Cloud Shell:
| Opzione | Esempio/collegamento |
|---|---|
| Selezionare Prova nell'angolo superiore destro di un codice o di un blocco di comandi. Selezionando Prova non viene copiato automaticamente il codice o il comando in Cloud Shell. |
|
| Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser. |
|
| Selezionare il pulsante Cloud Shell nella barra dei menu in alto a destra nel portale di Azure. |
|
Per usare Azure Cloud Shell:
Avviare Cloud Shell.
Selezionare il pulsante Copia in un blocco di codice (o blocco di comandi) per copiare il codice o il comando.
Incollare il codice o il comando nella sessione di Cloud Shell selezionando Ctrl+Shift+V in Windows e Linux oppure selezionando Cmd+Shift+V in macOS.
Selezionare INVIO per eseguire il codice o il comando.
Se si sceglie di installare e usare PowerShell in locale, questa esercitazione richiede il modulo Azure PowerShell versione 5.0.0 o successiva. Digitare Get-InstalledModule -Name Az per trovare la versione. Se è necessario eseguire l'aggiornamento, vedere Come installare Azure PowerShell. Se si esegue PowerShell in locale, è anche necessario eseguire Connect-AzAccount per creare una connessione con Azure.
Connect-AzAccount
Creare un gruppo di risorse
Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. Usare il cmdlet New-AzResourceGroup di Azure PowerShell per creare un gruppo di risorse denominato myResourceGroup nella posizione eastus .
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Creare un insieme di credenziali delle chiavi
Usare il cmdlet New-AzKeyVault di Azure PowerShell per creare un Key Vault nel gruppo di risorse del passaggio precedente. È necessario fornire alcune informazioni:
Nome Key Vault: una stringa contenente da 3 a 24 caratteri, limitati a numeri (0-9), lettere (a-z, A-Z) e trattini (-)
Importante
Ogni key vault deve avere un nome univoco. Negli esempi seguenti, sostituire <your-unique-keyvault-name> con il nome del tuo Key Vault.
Nome del gruppo di risorse: myResourceGroup.
Posizione: EastUS.
New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"
L'output di questo cmdlet mostra le proprietà del Key Vault appena creato. Prendere nota delle due proprietà seguenti:
- Nome Vault: Il nome fornito al parametro -Name.
- URI del Vault: nell'esempio, questo URI è https://<your-unique-keyvault-name.vault.azure.net/>. Le applicazioni che usano l'insieme di credenziali tramite l'API REST devono usare questo URI.
A questo punto, l'account Azure è l'unico autorizzato a eseguire qualsiasi operazione su questo nuovo insieme di credenziali.
Concedere all'account utente le autorizzazioni per gestire i segreti in Key Vault
Per ottenere le autorizzazioni all'insieme delle credenziali delle chiavi tramite il Controllo degli accessi in base al ruolo (RBAC), assegnare un ruolo al "nome dell'entità utente" usando il cmdlet di Azure PowerShell New-AzRoleAssignment.
New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Secrets Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Sostituire <upn>, <subscription-id>, <resource-group-name> e <your-unique-keyvault-name> con i valori effettivi. L'UPN in genere sarà nel formato di un indirizzo e-mail (ad esempio, username@domain.com).
Aggiunta di un segreto a Key Vault
Per aggiungere un segreto all'insieme di credenziali, sono sufficienti un paio di passaggi. In questo caso, si aggiunge una password che può essere usata da un'applicazione. La password è denominata ExamplePassword e archivia il valore di hVFkk965BuUv .
Eseguire prima di tutto il comando seguente e immettere il valore hVFkk965BuUv quando viene richiesto di convertirlo in una stringa sicura:
$secretvalue = Read-Host -Prompt 'Enter the example password' -AsSecureString
Usare quindi il cmdlet Set-AzKeyVaultSecret di Azure PowerShell per creare un segreto in Key Vault denominato ExamplePassword con il valore hVFkk965BuUv :
$secret = Set-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -SecretValue $secretvalue
Recuperare un segreto da Key Vault
Per visualizzare il valore contenuto nel segreto come testo normale, usare il cmdlet Get-AzKeyVaultSecret di Azure PowerShell:
$secret = Get-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -AsPlainText
A questo punto è stata creata un'istanza di Key Vault nella quale è stato archiviato e recuperato un segreto.
Pulire le risorse
Altri avvii rapidi ed esercitazioni in questa raccolta si basano su questo avvio rapido. Se si prevede di continuare a lavorare con altre guide introduttive ed esercitazioni, è possibile lasciare queste risorse sul posto.
Quando non è più necessario, è possibile usare il comando Remove-AzResourceGroup per rimuovere il gruppo di risorse, l'insieme di credenziali delle chiavi e tutte le risorse correlate.
Remove-AzResourceGroup -Name myResourceGroup
Passaggi successivi
In questa esercitazione dell'avvio rapido è stata creata un'istanza di Key Vault in cui è stato archiviato un segreto. Per altre informazioni sul servizio Key Vault e su come integrarlo nelle applicazioni, continuare con gli articoli seguenti.
- Leggi un' Panoramica di Azure Key Vault
- Informazioni su come archiviare segreti su più righe in Key Vault
- Vedere le informazioni di riferimento per i cmdlet di Azure PowerShell Key Vault
- Vedere Panoramica della sicurezza di Key Vault