クイックスタート: JavaScript 用 Azure Key Vault 証明書クライアントライブラリ

[アーティクル]
04/18/2024

JavaScript 用 Azure Key Vault 証明書クライアントライブラリを使ってみます。 Azure Key Vault は、証明書のセキュリティで保護されたストアを提供するクラウドサービスです。キー、パスワード、証明書、およびその他のシークレットを安全に保管することができます。 Azure Key Vault は、Azure Portal を使用して作成および管理できます。このクイックスタートでは、JavaScript クライアントライブラリを使用して Azure キーコンテナーに証明書を作成し、それを取得および削除する方法について説明します

Key Vault クライアントライブラリのリソースは、次のとおりです。

API リファレンスのドキュメント | ライブラリのソースコード | パッケージ (npm)

Key Vault と証明書の詳細については、以下を参照してください。

前提条件

Azure サブスクリプション - 無料アカウントを作成します。
現在の Node.js LTS。
Azure CLI
既存の Key Vault - 次を使用して作成できます。

このクイックスタートでは、Azure CLI を実行していることを前提としています。

login コマンドを実行します。
```
az login
```
CLI で既定のブラウザーを開くことができる場合、開いたブラウザに Azure サインインページが読み込まれます。

それ以外の場合は、 https://aka.ms/devicelogin でブラウザーページを開き、ターミナルに表示されている認証コードを入力します。
ブラウザーでアカウントの資格情報を使用してサインインします。

新しい Node.js アプリケーションを作成する

キーコンテナーを使用する Node.js アプリケーションを作成します。

ターミナルで、key-vault-node-app という名前のフォルダーを作成し、そのフォルダーに移動します。
```
mkdir key-vault-node-app && cd key-vault-node-app
```
Node.js プロジェクトを初期化します。
```
npm init -y
```

Key Vault パッケージをインストールする

ターミナルを使用して、Node.js 用の Azure Key Vault シークレットライブラリ、@azure/keyvault-certificates をインストールします。
```
npm install @azure/keyvault-certificates
```
Key Vault の認証を行うために、Azure ID ライブラリ @azure/identity をインストールします。
```
npm install @azure/identity
```

ロールベースのアクセス制御 (RBAC) を使用してキーコンテナーへのアクセス許可をアプリケーションに付与するには、Azure CLI コマンド az role assignment create を使用してロールを割り当てます。

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

ロールベースのアクセス制御 (RBAC) を使用してキーコンテナーへのアクセス許可をアプリケーションに付与するには、Azure PowerShell コマンドレット New-AzRoleAssignment を使用してロールを割り当てます。

New-AzRoleAssignment -ObjectId "<app-id>" -RoleDefinitionName "Key Vault Secrets User" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

<app-id>、<subscription-id>、<resource-group-name> および <your-unique-keyvault-name> を実際の値に置き換えます。 <app-id> は、Azure AD に登録済みのアプリケーションのアプリケーション (クライアント) ID です。

環境変数の設定

このアプリケーションでは、KEY_VAULT_NAME という環境変数にキーコンテナーの名前を使用します。

set KEY_VAULT_NAME=<your-key-vault-name>

Windows PowerShell

$Env:KEY_VAULT_NAME="<your-key-vault-name>"

export KEY_VAULT_NAME=<your-key-vault-name>

クライアントの認証と作成

ほとんどの Azure サービスに対するアプリケーション要求は、認可される必要があります。 Azure ID クライアントライブラリによって提供される DefaultAzureCredential メソッドを使うことは、コード内の Azure サービスへのパスワードレス接続を実装するための推奨される方法です。 DefaultAzureCredential は複数の認証方法をサポートしており、実行時に使用する方法が決定されます。このアプローチを採用すると、環境固有のコードを実装することなく、異なる環境 (ローカルと運用環境) で異なる認証方法をアプリに使用できます。

このクイックスタートでは、DefaultAzureCredential は Azure CLI にログインしたローカル開発ユーザーの資格情報を使って、キーコンテナーに対して認証されます。アプリケーションが Azure にデプロイされると、同じDefaultAzureCredential コードで、App Service、仮想マシン、またはその他のサービスに割り当てられているマネージド ID を自動的に検出して使用できます。詳細については、マネージド ID の概要に関するページを参照してください。

このコードでは、キーコンテナーの名前は、https://<your-key-vault-name>.vault.azure.net という形式で、キーコンテナーの URI に使用されます。キーコンテナーに対する認証の詳細については、開発者ガイドを参照してください。

コードの例

このコードでは、次の Key Vault Certificate クラスとメソッドを使用します。

アプリのフレームワークを設定する

新しいテキストファイルを作成し、次のコードを index.js ファイルに貼り付けます。

const { CertificateClient, DefaultCertificatePolicy } = require("@azure/keyvault-certificates");
const { DefaultAzureCredential } = require("@azure/identity");

async function main() {
  // If you're using MSI, DefaultAzureCredential should "just work".
  // Otherwise, DefaultAzureCredential expects the following three environment variables:
  // - AZURE_TENANT_ID: The tenant ID in Azure Active Directory
  // - AZURE_CLIENT_ID: The application (client) ID registered in the AAD tenant
  // - AZURE_CLIENT_SECRET: The client secret for the registered application
  const credential = new DefaultAzureCredential();

  const keyVaultName = process.env["KEY_VAULT_NAME"];
  if(!keyVaultName) throw new Error("KEY_VAULT_NAME is empty");
  const url = "https://" + keyVaultName + ".vault.azure.net";

  const client = new CertificateClient(url, credential);

  const uniqueString = new Date().getTime();
  const certificateName = `cert${uniqueString}`;

  // Creating a self-signed certificate
  const createPoller = await client.beginCreateCertificate(
    certificateName,
    DefaultCertificatePolicy
  );

  const pendingCertificate = createPoller.getResult();
  console.log("Certificate: ", pendingCertificate);

  // To read a certificate with their policy:
  let certificateWithPolicy = await client.getCertificate(certificateName);
  // Note: It will always read the latest version of the certificate.

  console.log("Certificate with policy:", certificateWithPolicy);

  // To read a certificate from a specific version:
  const certificateFromVersion = await client.getCertificateVersion(
    certificateName,
    certificateWithPolicy.properties.version
  );
  // Note: It will not retrieve the certificate's policy.
  console.log("Certificate from a specific version:", certificateFromVersion);

  const updatedCertificate = await client.updateCertificateProperties(certificateName, "", {
    tags: {
      customTag: "value"
    }
  });
  console.log("Updated certificate:", updatedCertificate);

  // Updating the certificate's policy:
  await client.updateCertificatePolicy(certificateName, {
    issuerName: "Self",
    subject: "cn=MyOtherCert"
  });
  certificateWithPolicy = await client.getCertificate(certificateName);
  console.log("updatedCertificate certificate's policy:", certificateWithPolicy.policy);

  // delete certificate
  const deletePoller = await client.beginDeleteCertificate(certificateName);
  const deletedCertificate = await deletePoller.pollUntilDone();
  console.log("Recovery Id: ", deletedCertificate.recoveryId);
  console.log("Deleted Date: ", deletedCertificate.deletedOn);
  console.log("Scheduled Purge Date: ", deletedCertificate.scheduledPurgeDate);
}

main().catch((error) => {
  console.error("An error occurred:", error);
  process.exit(1);
});

サンプルアプリケーションの実行

アプリを実行します。
```
node index.js
```

create および get メソッドにより、証明書の完全な JSON オブジェクトが返されます。

{
  "keyId": undefined,
  "secretId": undefined,
  "name": "YOUR-CERTIFICATE-NAME",
    "reuseKey": false,
    "keyCurveName": undefined,
    "exportable": true,
    "issuerName": 'Self',
    "certificateType": undefined,
    "certificateTransparency": undefined
  },
  "properties": {
    "createdOn": 2021-11-29T20:17:45.000Z,
    "updatedOn": 2021-11-29T20:17:45.000Z,
    "expiresOn": 2022-11-29T20:17:45.000Z,
    "id": "https://YOUR-KEY-VAULT-NAME.vault.azure.net/certificates/YOUR-CERTIFICATE-NAME/YOUR-CERTIFICATE-VERSION",
    "enabled": false,
    "notBefore": 2021-11-29T20:07:45.000Z,
    "recoveryLevel": "Recoverable+Purgeable",
    "name": "YOUR-CERTIFICATE-NAME",
    "vaultUrl": "https://YOUR-KEY-VAULT-NAME.vault.azure.net",
    "version": "YOUR-CERTIFICATE-VERSION",
    "tags": undefined,
    "x509Thumbprint": undefined,
    "recoverableDays": 90
  }
}

App Configuration との統合

Azure SDK には、指定された Key Vault 証明書 ID を解析するためのヘルパーメソッド parseKeyVaultCertificateIdentifier が用意されています。これは、Key Vault への App Configuration 参照を使用する場合に必要です。アプリ構成には、Key Vault 証明書 ID が格納されます。証明書名を取得するには、その ID を解析するために parseKeyVaultCertificateIdentifier メソッドが必要です。証明書名を取得したら、このクイックスタートのコードを使用して現在の証明書を取得できます。

次のステップ

このクイックスタートでは、キーコンテナーを作成し、証明書を格納して、その証明書を取得しました。 Key Vault およびアプリケーションとの統合方法の詳細については、引き続き以下の記事を参照してください。

Azure Key Vault の概要を確認する
証明書の概要を読む
App Service アプリケーションから Key Vault にアクセスする方法についてのチュートリアルを参照する
仮想マシンから Key Vault にアクセスする方法についてのチュートリアルを参照する
「Azure Key Vault 開発者ガイド」を参照する
Key Vault のセキュリティの概要を確認する

クイックスタート: JavaScript 用 Azure Key Vault 証明書クライアント ライブラリ