Szybki start: konfigurowanie i pobieranie wpisów tajnych z usługi Azure Key Vault przy użyciu programu PowerShell
Azure Key Vault to usługa w chmurze, która działa jako bezpieczny magazyn wpisów tajnych. Możesz bezpiecznie przechowywać klucze, hasła, certyfikaty oraz inne wpisy tajne. Aby uzyskać więcej informacji na temat usługi Key Vault, możesz zapoznać się z omówieniem. W tym przewodniku Szybki start opisano tworzenie magazynu kluczy przy użyciu programu PowerShell, a następnie umieszczanie wpisu tajnego w nowo utworzonym magazynie.
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Azure Cloud Shell
Na platforma Azure hostowane jest Azure Cloud Shell, interaktywne środowisko powłoki, z którego można korzystać w przeglądarce. Do pracy z usługami platformy Azure można używać programu Bash lub PowerShell w środowisku Cloud Shell. Aby uruchomić kod w tym artykule, możesz użyć wstępnie zainstalowanych poleceń usługi Cloud Shell bez konieczności instalowania niczego w środowisku lokalnym.
Aby uruchomić środowisko Azure Cloud Shell:
Opcja | Przykład/link |
---|---|
Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu lub polecenia. Wybranie pozycji Wypróbuj nie powoduje automatycznego skopiowania kodu lub polecenia do usługi Cloud Shell. | |
Przejdź do witryny https://shell.azure.com lub wybierz przycisk Uruchom Cloud Shell, aby otworzyć środowisko Cloud Shell w przeglądarce. | |
Wybierz przycisk Cloud Shell na pasku menu w prawym górnym rogu witryny Azure Portal. |
Aby użyć usługi Azure Cloud Shell:
Uruchom usługę Cloud Shell.
Wybierz przycisk Kopiuj w bloku kodu (lub bloku poleceń), aby skopiować kod lub polecenie.
Wklej kod lub polecenie do sesji usługi Cloud Shell, wybierając klawisze Ctrl+Shift V w systemach Windows i Linux lub wybierając pozycję Cmd+Shift++V w systemie macOS.
Wybierz klawisz Enter, aby uruchomić kod lub polecenie.
Jeśli zdecydujesz się zainstalować program PowerShell i korzystać z niego lokalnie, ten samouczek wymaga modułu Azure PowerShell w wersji 5.0.0 lub nowszej. Wpisz polecenie Get-Module az -ListAvailable
, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczne będzie uaktualnienie, zobacz Instalowanie modułu Azure PowerShell. Jeśli używasz programu PowerShell lokalnie, musisz też uruchomić polecenie Connect-AzAccount
, aby utworzyć połączenie z platformą Azure.
Connect-AzAccount
Tworzenie grupy zasobów
Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia cmdlet New-AzResourceGroup programu Azure PowerShell, aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus.
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Tworzenie magazynu kluczy
Użyj polecenia cmdlet New-AzKeyVault programu Azure PowerShell, aby utworzyć usługę Key Vault w grupie zasobów z poprzedniego kroku. Konieczne będzie podanie pewnych informacji:
Nazwa magazynu kluczy: ciąg zawierający od 3 do 24 znaków, który może zawierać tylko cyfry (0–9), litery (a-z, A-Z) i łączniki (-)
Ważne
Każdy magazyn kluczy musi mieć unikatową nazwę. Zastąp <ciąg your-unique-keyvault-name> nazwą magazynu kluczy w poniższych przykładach.
Nazwa grupy zasobów: myResourceGroup.
Lokalizacja: EastUS.
New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"
Dane wyjściowe tego polecenia cmdlet pokazują właściwości nowo utworzonej usługi Key Vault. Zanotuj dwie poniższe właściwości:
- Nazwa magazynu: nazwa podana powyżej parametru -Name.
- Identyfikator URI magazynu: w tym przykładzie jest to https://< jour-unique-keyvault-name.vault.azure.net/>. Aplikacje korzystające z magazynu za pomocą jego interfejsu API REST muszą używać tego identyfikatora URI.
Twoje konto platformy Azure jest teraz jedynym kontem z uprawnieniami do wykonywania jakichkolwiek operacji na tym nowym magazynie.
Nadawanie kontu użytkownika uprawnień do zarządzania wpisami tajnymi w usłudze Key Vault
Aby udzielić aplikacji uprawnień do magazynu kluczy za pomocą kontroli dostępu opartej na rolach (RBAC), przypisz rolę przy użyciu polecenia cmdlet programu Azure PowerShell New-AzRoleAssignment.
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets User" -SignInName "<your-email-address>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Zastąp <ciąg your-email-address>, <subscription-id>, <resource-group-name i <your-unique-keyvault-name>> rzeczywistymi wartościami. <Twój adres e-mail> to nazwa logowania. Zamiast tego możesz użyć parametru -ObjectId
i identyfikatora obiektu Entra firmy Microsoft.
Dodawanie wpisu tajnego do usługi Key Vault
Aby dodać wpis tajny do magazynu, wystarczy tylko wykonać kilka czynności. W tym przypadku dodaj hasło, którego będzie mogła używać aplikacja. Hasło ma nazwę ExamplePassword i przechowywana jest w nim wartość hVFkk965BuUv.
Najpierw przekonwertuj wartość hVFkk965BuUv na bezpieczny ciąg, wpisując polecenie:
$secretvalue = ConvertTo-SecureString "hVFkk965BuUv" -AsPlainText -Force
Następnie użyj polecenia cmdlet Set-AzKeyVaultSecret programu Azure PowerShell, aby utworzyć wpis tajny w usłudze Key Vault o nazwie ExamplePassword z wartością hVFkk965BuUv:
$secret = Set-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -SecretValue $secretvalue
Pobieranie wpisu tajnego z usługi Key Vault
Aby wyświetlić wartość zawartą w wpisie tajnym jako zwykły tekst, użyj polecenia cmdlet Get-AzKeyVaultSecret programu Azure PowerShell:
$secret = Get-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -AsPlainText
Utworzono usługę Key Vault, umieszczono w niej wpis tajny i pobrano go.
Czyszczenie zasobów
Inne przewodniki szybkiego startu i samouczki w tej kolekcji bazują na tym przewodniku. Jeśli planujesz korzystać z innych przewodników Szybki start i samouczków, pozostaw te zasoby na swoim miejscu.
Gdy grupa zasobów, usługa Key Vault i wszystkie pokrewne zasoby nie będą już potrzebne, można je usunąć za pomocą polecenia Remove-AzResourceGroup.
Remove-AzResourceGroup -Name myResourceGroup
Następne kroki
W tym przewodniku Szybki start utworzono usługę Key Vault i zapisano w niej wpis tajny. Aby dowiedzieć się więcej na temat usługi Key Vault i sposobu jej integracji z aplikacjami, przejdź do poniższych artykułów.
- Przeczytaj omówienie usługi Azure Key Vault
- Dowiedz się, jak przechowywać wpisy tajne wielowierszowe w usłudze Key Vault
- Zapoznaj się z dokumentacją poleceń cmdlet usługi Azure PowerShell Key Vault
- Przegląd zabezpieczeń usługi Key Vault