다음을 통해 공유


자습서: .NET에서 가상 머신이 있는 Azure Key Vault 사용

Azure Key Vault를 통해 애플리케이션, 서비스 및 IT 리소스에 액세스하는 데 필요한 API 키, 데이터베이스 연결 문자열과 같은 비밀을 보호할 수 있습니다.

이 자습서에서는 Azure Key Vault에서 정보를 읽는 콘솔 애플리케이션을 가져오는 방법을 알아봅니다. 애플리케이션은 가상 머신 관리 ID를 사용하여 Key Vault에 인증합니다.

이 자습서에서는 다음을 수행하는 방법에 대해 설명합니다.

  • 리소스 그룹을 만듭니다.
  • 키 자격 증명 모음을 생성합니다.
  • 키 자격 증명 모음에 비밀 추가
  • 키 자격 증명 모음에서 비밀을 검색합니다.
  • Azure 가상 머신을 만듭니다.
  • Virtual Machine에 관리 ID를 사용하도록 설정합니다.
  • VM ID에 사용 권한을 할당합니다.

시작하기 전에 Key Vault 기본 개념을 읽어보세요.

Azure 구독이 없는 경우 무료 계정을 만드세요.

필수 조건

Windows, Mac 및 Linux:

리소스 만들기 및 권한 할당

코딩을 시작하기 전에 몇 가지 리소스를 만들고, 키 자격 증명 모음에 비밀을 배치하고, 사용 권한을 할당해야 합니다.

Azure에 로그인

다음 명령을 사용하여 Azure에 로그인하려면 다음을 수행합니다.

az login

리소스 그룹 및 키 자격 증명 모음 만들기

이 빠른 시작에서는 미리 만든 Azure Key Vault를 사용합니다. Azure CLI 빠른 시작, Azure PowerShell 빠른 시작 또는 Azure Portal 빠른 시작의 단계에 따라 키 자격 증명 모음을 만들 수 있습니다.

또는 다음의 Azure CLI 또는 Azure PowerShell 명령을 실행할 수 있습니다.

Important

각 Key Vault마다 고유한 이름이 있어야 합니다. 다음 예제에서는 <your-unique-keyvault-name>을 키 자격 증명 모음의 이름으로 바꿉니다.

az group create --name "myResourceGroup" -l "EastUS"

az keyvault create --name "<your-unique-keyvault-name>" -g "myResourceGroup" --enable-rbac-authorization

비밀로 키 자격 증명 모음 채우기

값이 Success!mySecret이라는 비밀을 만들어 보겠습니다. 비밀은 안전하게 유지하면서도 애플리케이션에서 사용할 수 있어야 하는 암호, SQL 연결 문자열 또는 기타 정보입니다.

새로 만든 키 자격 증명 모음에 비밀을 추가하려면 다음 명령을 사용합니다.

az keyvault secret set --vault-name "<your-unique-keyvault-name>" --name "mySecret" --value "Success!"

가상 머신 만들기

다음 방법 중 하나를 사용하여 Windows 또는 Linux 가상 머신을 만듭니다.

Windows Linux
Azure CLI Azure CLI
PowerShell PowerShell
Azure Portal Azure Portal

VM에 ID 할당

다음 예제를 사용하여 가상 머신에 대한 시스템 할당 ID를 만듭니다.

az vm identity assign --name <NameOfYourVirtualMachine> --resource-group <YourResourceGroupName>

다음 코드에 표시되는 시스템 할당 ID를 기록해 둡니다. 위 명령의 출력은 다음과 같습니다.

{
  "systemAssignedIdentity": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "userAssignedIdentities": {}
}

VM ID에 사용 권한을 할당합니다.

RBAC(역할 기반 액세스 제어)를 통해 키 자격 증명 모음에 애플리케이션 권한을 부여하려면 az role assignment create Azure CLI 명령을 사용하여 역할을 할당합니다.

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

<app-id>, <subscription-id>. <resource-group-name><your-unique-keyvault-name>을 실제 값으로 바꿉니다. <app-id>는 Microsoft Entra에 등록된 애플리케이션의 애플리케이션(클라이언트) ID입니다.

가상 머신에 로그인

가상 머신에 로그인하려면 Azure Windows 가상 머신에 연결 및 로그인 또는 Azure Linux 가상 머신에 연결 및 로그인의 지침을 따르세요.

콘솔 앱 설정

dotnet 명령을 사용하여 콘솔 앱을 만들고 필요한 패키지를 설치합니다.

.NET Core 설치

.NET Core를 설치하려면 .NET 다운로드 페이지로 이동합니다.

샘플 .NET 앱 만들기 및 실행

명령 프롬프트가 엽니다.

다음 명령을 실행하여 "Hello World"를 콘솔에 출력할 수 있습니다.

dotnet new console -n keyvault-console-app
cd keyvault-console-app
dotnet run

패키지 설치

콘솔 창에서 .NET용 Azure Key Vault 비밀 클라이언트 라이브러리를 설치합니다.

dotnet add package Azure.Security.KeyVault.Secrets

이 빠른 시작에서는 다음 ID 패키지를 설치하여 Azure Key Vault에 인증해야 합니다.

dotnet add package Azure.Identity

콘솔 앱 편집

Program.cs 파일을 열고 다음 패키지를 추가합니다.

using System;
using Azure.Core;
using Azure.Identity;
using Azure.Security.KeyVault.Secrets;

다음 줄을 추가하여, 키 자격 증명 모음의 vaultUri를 반영하도록 URI를 업데이트합니다. 아래 코드에서는 키 자격 증명 모음에 대한 인증을 위해 'DefaultAzureCredential()'을 사용하며, 이는 애플리케이션 관리 ID의 토큰을 사용하여 인증합니다. 또한 키 자격 증명 모음이 제한되는 경우 지수 백오프를 다시 시도에 사용합니다.

  class Program
    {
        static void Main(string[] args)
        {
            string secretName = "mySecret";
            string keyVaultName = "<your-key-vault-name>";
            var kvUri = "https://<your-key-vault-name>.vault.azure.net";
            SecretClientOptions options = new SecretClientOptions()
            {
                Retry =
                {
                    Delay= TimeSpan.FromSeconds(2),
                    MaxDelay = TimeSpan.FromSeconds(16),
                    MaxRetries = 5,
                    Mode = RetryMode.Exponential
                 }
            };

            var client = new SecretClient(new Uri(kvUri), new DefaultAzureCredential(),options);

            Console.Write("Input the value of your secret > ");
            string secretValue = Console.ReadLine();

            Console.Write("Creating a secret in " + keyVaultName + " called '" + secretName + "' with the value '" + secretValue + "' ...");

            client.SetSecret(secretName, secretValue);

            Console.WriteLine(" done.");

            Console.WriteLine("Forgetting your secret.");
            secretValue = "";
            Console.WriteLine("Your secret is '" + secretValue + "'.");

            Console.WriteLine("Retrieving your secret from " + keyVaultName + ".");

            KeyVaultSecret secret = client.GetSecret(secretName);

            Console.WriteLine("Your secret is '" + secret.Value + "'.");

            Console.Write("Deleting your secret from " + keyVaultName + " ...");

            client.StartDeleteSecret(secretName);

            System.Threading.Thread.Sleep(5000);
            Console.WriteLine(" done.");

        }
    }

리소스 정리

더 이상 필요하지 않으면 가상 머신 및 Key Vault를 삭제합니다.

다음 단계