Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure Key Vault to usługa chmurowa, która działa jako bezpieczny magazyn sekretów. Możesz bezpiecznie przechowywać klucze, hasła, certyfikaty oraz inne wpisy tajne. Aby uzyskać więcej informacji na temat usługi Key Vault, możesz zapoznać się z omówieniem. W tym przewodniku szybkiego startu użyjesz programu Azure PowerShell do utworzenia magazynu kluczy. a następnie umieść tajemnicę w nowo utworzonym skarbcu.
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Azure Cloud Shell
Na platformie Azure jest hostowane Azure Cloud Shell, interaktywne środowisko powłoki, z którego można korzystać za pomocą przeglądarki. Do pracy z usługami platformy Azure można używać programu Bash lub PowerShell w środowisku Cloud Shell. Aby uruchomić kod w tym artykule, możesz użyć wstępnie zainstalowanych poleceń usługi Cloud Shell bez konieczności instalowania niczego w środowisku lokalnym.
Aby uruchomić środowisko Azure Cloud Shell:
| Opcja | Przykład/link |
|---|---|
| Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu lub polecenia. Wybranie pozycji Wypróbuj nie powoduje automatycznego skopiowania kodu lub polecenia do usługi Cloud Shell. |
|
| Przejdź do witryny https://shell.azure.com lub wybierz przycisk Uruchom Cloud Shell, aby otworzyć środowisko Cloud Shell w przeglądarce. |
|
| Wybierz przycisk Cloud Shell na pasku menu w prawym górnym rogu witryny Azure Portal. |
|
Aby użyć usługi Azure Cloud Shell:
Uruchom usługę Cloud Shell.
Wybierz przycisk Kopiuj w bloku kodu (lub bloku poleceń), aby skopiować kod lub polecenie.
Wklej kod lub polecenie do sesji Cloud Shell, wybierając Ctrl+Shift+V w systemach Windows i Linux, lub wybierając Cmd+Shift+V w systemie macOS.
Wybierz Enter, aby uruchomić kod lub polecenie.
Jeśli zdecydujesz się zainstalować program PowerShell i korzystać z niego lokalnie, ten samouczek wymaga modułu Azure PowerShell w wersji 5.0.0 lub nowszej. Wpisz polecenie Get-InstalledModule -Name Az, aby dowiedzieć się, jaka wersja jest używana. Jeśli musisz przeprowadzić uaktualnienie, zobacz Jak zainstalować program Azure PowerShell. Jeśli używasz programu PowerShell lokalnie, musisz też uruchomić polecenie Connect-AzAccount, aby utworzyć połączenie z platformą Azure.
Connect-AzAccount
Tworzenie grupy zasobów
Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia cmdlet New-AzResourceGroup programu Azure PowerShell, aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus.
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Utwórz magazyn kluczy
Użyj polecenia cmdlet New-AzKeyVault programu Azure PowerShell, aby utworzyć usługę Key Vault w grupie zasobów z poprzedniego kroku. Musisz podać kilka informacji:
Nazwa magazynu kluczy: ciąg zawierający od 3 do 24 znaków, który może zawierać tylko cyfry (0–9), litery (a-z, A-Z) i łączniki (-)
Ważne
Każdy magazyn kluczy musi mieć unikatową nazwę. Zastąp
<vault-name>nazwą magazynu kluczy w poniższych przykładach.Nazwa grupy zasobów: myResourceGroup
Lokalizacja: EastUS
New-AzKeyVault -Name "<vault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS" -EnableRbacAuthorization $true
Dane wyjściowe tego polecenia cmdlet pokazują właściwości nowo utworzonej usługi Key Vault. Zanotuj te dwie właściwości:
- Nazwa magazynu: nazwa, którą podałeś dla parametru -Name.
-
Identyfikator URI magazynu: w tym przykładzie identyfikator URI magazynu to
https://<vault-name>.vault.azure.net/. Aplikacje, które korzystają z magazynu za pomocą jego interfejsu API REST, muszą używać tego identyfikatora URI.
Twoje konto platformy Azure jest teraz jedynym kontem z uprawnieniami do wykonywania jakichkolwiek operacji na tym nowym magazynie.
Nadawanie kontu użytkownika uprawnień do zarządzania wpisami tajnymi w usłudze Key Vault
Aby uzyskać uprawnienia do magazynu kluczy za pomocą kontroli dostępu opartej na rolach (RBAC), przypisz rolę do Twojej nazwy głównej użytkownika (UPN) za pomocą polecenia cmdlet Azure PowerShell New-AzRoleAssignment.
New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Secrets Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/<vault-name>"
Zastąp <upn>, <subscription-id> i <vault-name> rzeczywistymi wartościami. Jeśli użyto innej nazwy grupy zasobów, zastąp "myResourceGroup" również. Nazwa UPN będzie zwykle mieć format adresu e-mail (np. username@domain.com).
Dodawanie tajemnicy do Key Vault
Aby dodać tajemnicę do magazynu, wystarczy tylko wykonać kilka czynności. W tym przypadku dodaj hasło, którego będzie mogła używać aplikacja. Hasło ma nazwę ExamplePassword i przechowywana jest w nim wartość hVFkk965BuUv.
Najpierw uruchom następujące polecenie i wprowadź wartość hVFkk965BuUv po wyświetleniu monitu o przekonwertowanie go na bezpieczny ciąg:
$secretvalue = Read-Host -Prompt 'Enter the example password' -AsSecureString
Następnie użyj polecenia cmdlet Set-AzKeyVaultSecret programu Azure PowerShell, aby utworzyć sekret w Key Vault o nazwie ExamplePassword z wartością hVFkk965BuUv:
$secret = Set-AzKeyVaultSecret -VaultName "<vault-name>" -Name "ExamplePassword" -SecretValue $secretvalue
Uzyskiwanie tajemnicy z usługi Key Vault
Aby wyświetlić wartość zawartą w wpisie tajnym jako zwykły tekst, użyj polecenia cmdlet Get-AzKeyVaultSecret programu Azure PowerShell:
$secret = Get-AzKeyVaultSecret -VaultName "<vault-name>" -Name "ExamplePassword" -AsPlainText
Teraz utworzyłeś Key Vault, zapisałeś tajny klucz i go odzyskałeś.
Czyszczenie zasobów
Inne szybkie starty i samouczki w tej kolekcji bazują na tym szybkim starcie. Jeśli planujesz korzystać z innych przewodników szybkiego startu i samouczków, warto pozostawić te zasoby na miejscu.
Gdy grupa zasobów, usługa Key Vault i wszystkie pokrewne zasoby nie będą już potrzebne, można je usunąć za pomocą polecenia Remove-AzResourceGroup.
Remove-AzResourceGroup -Name "myResourceGroup"
Następne kroki
W tym przewodniku szybkiego startu utworzono Key Vault i zapisano w nim tajemnicę. Aby dowiedzieć się więcej na temat usługi Key Vault i sposobu jej integracji z aplikacjami, przejdź do poniższych artykułów.
- Przeczytaj omówienie usługi Azure Key Vault
- Dowiedz się, jak przechowywać wpisy tajne wielowierszowe w usłudze Key Vault
- Zapoznaj się z dokumentacją dotyczącą poleceń cmdlet dla Azure PowerShell Key Vault
- Przegląd zabezpieczeń usługi Key Vault
- Przegląd najlepszych praktyk dotyczących zabezpieczeń specyficznych dla tajemnic