Snelstart: Een geheim uit Azure Key Vault instellen en ophalen met PowerShell
Azure Key Vault is een cloudservice die werkt als een beveiligd geheimenarchief. U kunt veilig sleutels, wachtwoorden, certificaten en andere geheime informatie opslaan. U kunt het Overzicht raadplegen voor meer informatie over Key Vault. In deze snelstart gebruikt u PowerShell om een sleutelkluis te maken. Vervolgens slaat u een geheim op in de zojuist gemaakte kluis.
Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
Azure Cloud Shell
Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.
Om Azure Cloud Shell op te starten:
Optie | Voorbeeld/koppeling |
---|---|
Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell. | |
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen. | |
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal. |
Azure Cloud Shell gebruiken:
Start Cloud Shell.
Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.
Plak de code of opdracht in de Cloud Shell-sessie door Ctrl+Shift+V in Windows en Linux te selecteren of door Cmd+Shift+V te selecteren in macOS.
Selecteer Enter om de code of opdracht uit te voeren.
Als u ervoor kiest om PowerShell lokaal te installeren en gebruiken, is versie 5.0.0 of hoger van de Azure PowerShell-module vereist voor deze zelfstudie. Typ Get-Module az -ListAvailable
om de versie te bekijken. Als u PowerShell wilt upgraden, raadpleegt u De Azure PowerShell-module installeren. Als u PowerShell lokaal uitvoert, moet u ook Connect-AzAccount
uitvoeren om verbinding te kunnen maken met Azure.
Connect-AzAccount
Een brongroep maken
Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. Gebruik de Cmdlet New-AzResourceGroup van Azure PowerShell om een resourcegroep met de naam myResourceGroup te maken op de locatie eastus.
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Maak een sleutelkluis.
Gebruik de Azure PowerShell New-AzKeyVault-cmdlet om een Key Vault te maken in de resourcegroep uit de vorige stap. U moet enkele gegevens opgeven:
Sleutelkluisnaam: een tekenreeks van 3 tot 24 tekens die alleen cijfers (0-9), letters (a-z, A-Z) en afbreekstreepjes (-) mogen bevatten
Belangrijk
Elke sleutelkluis moet een unieke naam hebben. Vervang <uw unieke sleutelkluisnaam> door de naam van uw sleutelkluis in de volgende voorbeelden.
Naam van resourcegroep: myResourceGroup.
De locatie: EastUS.
New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"
De uitvoer van deze cmdlet toont eigenschappen van de nieuw gemaakte sleutelkluis. Noteer deze twee eigenschappen:
- Kluisnaam: de naam die u hebt opgegeven voor de parameter -Name.
- Kluis-URI: In het voorbeeld is deze URI https://< your-unique-keyvault-name.vault.azure.net/>. Toepassingen die via de REST API gebruikmaken van uw kluis, moeten deze URI gebruiken.
Vanaf dit punt is uw Azure-account nu als enige gemachtigd om bewerkingen op deze nieuwe kluis uit te voeren.
Geef uw gebruikersaccount machtigingen voor het beheren van geheimen in Key Vault
Als u machtigingen wilt verkrijgen voor uw sleutelkluis via op rollen gebaseerd toegangsbeheer (RBAC), wijst u een rol toe aan uw UPN (User Principal Name) met behulp van de Azure PowerShell-cmdlet New-AzRoleAssignment.
New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Secrets Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Vervang <upn>, <subscription-id>, <resource-group-name> en <your-unique-keyvault-name> door uw werkelijke waarden. Uw UPN heeft doorgaans de indeling van een e-mailadres (bijvoorbeeld username@domain.com).
Een geheim toevoegen aan Key Vault
Als u een geheim wilt toevoegen aan de kluis, hoeft u maar een paar stappen uit te voeren. In dit geval voegt u een wachtwoord toe dat door een toepassing kan worden gebruikt. Het wachtwoord heeft de naam ExamplePassword en slaat daarin de waarde van hVFkk965BuUv op.
Converteer eerst de waarde van hVFkk965BuUv naar een beveiligde tekenreeks door het volgende te typen:
$secretvalue = ConvertTo-SecureString "hVFkk965BuUv" -AsPlainText -Force
Gebruik vervolgens de Azure PowerShell Set-AzKeyVaultSecret-cmdlet om een geheim te maken in Key Vault met de naam ExamplePassword met de waarde hVFkk965BuUv :
$secret = Set-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -SecretValue $secretvalue
Een geheim lezen uit Key Vault
Als u de waarde in het geheim als tekst zonder opmaak wilt weergeven, gebruikt u de Cmdlet Azure PowerShell Get-AzKeyVaultSecret :
$secret = Get-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -AsPlainText
U hebt nu een sleutelkluis gemaakt, een geheim opgeslagen en dat vervolgens opgehaald.
Resources opschonen
Andere snelstartgidsen en zelfstudies in deze verzameling zijn gebaseerd op deze snelstartgids. Als u van plan bent om verder te gaan met andere snelstarts en zelfstudies, kunt u deze resources intact laten.
U kunt de opdracht Remove-AzResourceGroup gebruiken om de resourcegroep, sleutelkluis en alle gerelateerde resources te verwijderen wanneer u deze niet meer nodig hebt.
Remove-AzResourceGroup -Name myResourceGroup
Volgende stappen
In deze quickstart hebt u een sleutelkluis gemaakt en daar een geheim in opgeslagen. Voor meer informatie over Key Vault en hoe u Key Vault integreert met uw toepassingen gaat u verder naar de artikelen hieronder.
- Lees een Overzicht van Azure Key Vault
- Meer informatie over het opslaan van geheimen met meerdere regels in Key Vault
- Zie de referentie voor de Azure PowerShell Key Vault-cmdlets
- Raadpleeg het Overzicht voor Key Vault-beveiliging