Poprzednie

Następne

Ćwiczenie — tworzenie magazynu kluczy i przechowywanie wpisów tajnych

Ukończone

Tworzenie magazynów kluczy dla aplikacji

Najlepszym rozwiązaniem jest utworzenie oddzielnego magazynu dla każdego środowiska wdrażania poszczególnych aplikacji, takich jak programowanie, testowanie i produkcja. W jednym magazynie można przechowywać wpisy tajne dla wielu aplikacji i środowisk, ale wpływ uzyskania dostępu do odczytu magazynu przez osobę atakującą zwiększa się wraz z liczbą wpisów tajnych w magazynie.

Napiwek

Jeśli używasz tych samych nazw wpisów tajnych w różnych środowiskach aplikacji, jedyną konfiguracją specyficzną dla środowiska, którą musisz zmienić w aplikacji, jest adres URL magazynu.

Tworzenie magazynu nie wymaga konfiguracji początkowej. Tożsamość użytkownika jest automatycznie udzielana pełnego zestawu uprawnień do zarządzania wpisami tajnymi. Możesz natychmiast rozpocząć dodawanie wpisów tajnych. Po utworzeniu magazynu możesz dodawać wpisy tajne i zarządzać nimi z dowolnego interfejsu administracyjnego platformy Azure, w tym witryny Azure Portal, interfejsu wiersza polecenia platformy Azure i programu Azure PowerShell. Podczas konfigurowania aplikacji do korzystania z magazynu należy przypisać do niej odpowiednie uprawnienia zgodnie z opisem w następnej lekcji.

Tworzenie magazynu kluczy i przechowywanie w nim wpisu tajnego

Biorąc pod uwagę wszystkie problemy, które firma miała z wpisami tajnymi aplikacji, kierownictwo prosi o utworzenie małej aplikacji startowej, aby ustawić innych deweloperów na właściwej ścieżce. Aplikacja musi przedstawiać najlepsze rozwiązania dotyczące jak najprostszego i jak najbezpieczniejszego zarządzania wpisami tajnymi.

Aby rozpocząć, utwórz magazyn i zapisz w nim jeden wpis tajny.

Tworzenie usługi Key Vault

Nazwy usługi Key Vault muszą być globalnie unikatowe, dlatego wybierz unikatową nazwę. Nazwy magazynów muszą zawierać od 3 do 24 znaków oraz wyłącznie znaki alfanumeryczne i łączniki. Zanotuj wybraną nazwę magazynu, ponieważ jest ona potrzebna w tym ćwiczeniu.

Aby utworzyć magazyn, uruchom następujące polecenie w usłudze Azure Cloud Shell. Pamiętaj, aby wprowadzić unikatową nazwę magazynu do parametru --name .

az keyvault create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --location centralus \
    --name <your-unique-vault-name>

Po zakończeniu zobaczysz dane wyjściowe JSON opisujące nowy magazyn.

Napiwek

Polecenie spowodowało wstępne utworzenie grupy zasobów o nazwie [nazwa grupy zasobów piaskownicy]. Podczas pracy z własną subskrypcją chcesz utworzyć nową grupę zasobów lub użyć istniejącej, która została wcześniej utworzona.

Dodawanie wpisu tajnego

Teraz dodaj wpis tajny. Nasz wpis tajny nosi nazwę SecretPassword z wartością reindeer_flotilla. Pamiętaj, aby zastąpić <your-unique-vault-name> ciąg nazwą magazynu utworzoną w parametrze --vault-name .

az keyvault secret set \
    --name SecretPassword \
    --value reindeer_flotilla \
    --vault-name <your-unique-vault-name>

Wkrótce napiszesz kod dla aplikacji, ale najpierw musisz dowiedzieć się więcej na temat sposobu uwierzytelniania aplikacji w magazynie.

Kontynuuj