Szybki start: konfigurowanie i pobieranie wpisów tajnych z usługi Azure Key Vault przy użyciu interfejsu wiersza polecenia platformy Azure

  • Artykuł

W tym przewodniku Szybki start utworzysz magazyn kluczy w usłudze Azure Key Vault przy użyciu interfejsu wiersza polecenia platformy Azure. Azure Key Vault to usługa w chmurze, która działa jako bezpieczny magazyn wpisów tajnych. Możesz bezpiecznie przechowywać klucze, hasła, certyfikaty oraz inne wpisy tajne. Aby uzyskać więcej informacji na temat usługi Key Vault, możesz zapoznać się z omówieniem. Interfejs wiersza polecenia platformy Azure służy do tworzenia zasobów platformy Azure i zarządzanie nimi za pomocą poleceń lub skryptów. a następnie umieszczanie w nim wpisu tajnego.

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto platformy Azure.

Wymagania wstępne

Ten przewodnik Szybki start wymaga wersji 2.0.4 lub nowszej interfejsu wiersza polecenia platformy Azure. W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.

Tworzenie grupy zasobów

Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia az group create, aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus.

az group create --name "myResourceGroup" --location "EastUS"

Tworzenie magazynu kluczy

Użyj polecenia az keyvault create interfejsu wiersza polecenia platformy Azure, aby utworzyć usługę Key Vault w grupie zasobów z poprzedniego kroku. Konieczne będzie podanie pewnych informacji:

  • Nazwa magazynu kluczy: ciąg zawierający od 3 do 24 znaków, który może zawierać tylko cyfry (0–9), litery (a-z, A-Z) i łączniki (-)

    Ważne

    Każdy magazyn kluczy musi mieć unikatową nazwę. Zastąp <ciąg your-unique-keyvault-name> nazwą magazynu kluczy w poniższych przykładach.

  • Nazwa grupy zasobów: myResourceGroup.

  • Lokalizacja: EastUS.

az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup" --location "EastUS"

Dane wyjściowe tego polecenia pokazują właściwości nowo utworzonego magazynu kluczy. Zanotuj te dwie właściwości:

  • Nazwa magazynu: nazwa podana do parametru --name .
  • Identyfikator URI magazynu: w tym przykładzie identyfikator URI magazynu to https://< nazwa-unikatowa-keyvault-name.vault.azure.net/>. Aplikacje korzystające z magazynu za pomocą jego interfejsu API REST muszą używać tego identyfikatora URI.

Twoje konto platformy Azure jest teraz jedynym kontem z uprawnieniami do wykonywania jakichkolwiek operacji na tym nowym magazynie.

Nadawanie kontu użytkownika uprawnień do zarządzania wpisami tajnymi w usłudze Key Vault

Aby udzielić uprawnień konta użytkownika do magazynu kluczy za pomocą kontroli dostępu opartej na rolach (RBAC), przypisz rolę przy użyciu polecenia interfejsu wiersza polecenia platformy Azure az role assignment create.

az role assignment create --role "Key Vault Secrets User" --assignee "<your-email-address>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Zastąp <ciąg your-email-address>, <subscription-id>, <resource-group-name i <your-unique-keyvault-name>> rzeczywistymi wartościami. <Twój adres e-mail> to nazwa logowania.

Dodawanie wpisu tajnego do usługi Key Vault

Aby dodać wpis tajny do magazynu, wystarczy tylko wykonać kilka dodatkowych czynności. Tego hasła może używać aplikacja. Hasło będzie miało nazwę ExamplePassword i będzie w nim przechowywana wartość hVFkk965BuUv.

Użyj poniższego polecenia az keyvault secret set interfejsu wiersza polecenia platformy Azure, aby utworzyć wpis tajny w usłudze Key Vault o nazwie ExamplePassword, który będzie przechowywać wartość hVFkk965BuUv:

az keyvault secret set --vault-name "<your-unique-keyvault-name>" --name "ExamplePassword" --value "hVFkk965BuUv"

Pobieranie wpisu tajnego z usługi Key Vault

Teraz możesz odwoływać się do hasła dodanego do usługi Azure Key Vault za pomocą jego identyfikatora URI. Użyj polecenia https://<your-unique-keyvault-name>.vault.azure.net/secrets/ExamplePassword, aby pobrać bieżącą wersję.

Aby wyświetlić wartość zawartą w wpisie tajnym jako zwykły tekst, użyj polecenia az keyvault secret show interfejsu wiersza polecenia platformy Azure:

az keyvault secret show --name "ExamplePassword" --vault-name "<your-unique-keyvault-name>" --query "value"

Utworzono usługę Key Vault, umieszczono w niej wpis tajny i pobrano go.

Czyszczenie zasobów

Inne przewodniki szybkiego startu i samouczki w tej kolekcji bazują na tym przewodniku. Jeśli planujesz korzystać z kolejnych przewodników Szybki start i samouczków, pozostaw te zasoby na swoim miejscu.

Gdy grupa zasobów i wszystkie powiązane zasoby nie będą już potrzebne, możesz użyć polecenia az group delete interfejsu wiersza polecenia platformy Azure:

az group delete --name "myResourceGroup"

Następne kroki

W tym przewodniku Szybki start utworzono usługę Key Vault i zapisano w niej wpis tajny. Aby dowiedzieć się więcej na temat usługi Key Vault i sposobu jej integracji z aplikacjami, przejdź do poniższych artykułów.