Início Rápido: Definir e recuperar um segredo do Azure Key Vault usando a CLI do Azure

Neste guia de início rápido, você cria um cofre de chaves no Azure Key Vault com CLI do Azure. O Azure Key Vault é um serviço de nuvem que funciona como um repositório de segredos seguro. Você pode armazenar chaves, senhas, certificados e outros segredos com segurança. Para saber mais sobre o Key Vault, reveja a Visão geral. A CLI do Azure é usada para criar e gerenciar recursos do Azure usando comandos ou scripts. Depois de concluído, você armazenará um segredo.

Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.

Pré-requisitos

• Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.

  

• Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.

  • Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.

  • Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.

  • Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.

Este guia de início rápido exige a versão 2.0.4 ou posterior da CLI do Azure. Se você está usando o Azure Cloud Shell, a versão mais recente já está instalada.

Criar um grupo de recursos

Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Use o comando az group create para criar um grupo de recursos chamado myResourceGroup na localização eastus.

az group create --name "myResourceGroup" --location "EastUS"

Criar um cofre de chaves

Use o comando az keyvault create da CLI do Azure para criar um Key Vault no grupo de recursos da etapa anterior. Você precisará fornecer algumas informações:

• Nome do cofre de chaves: uma cadeia de 3 a 24 caracteres contendo somente números (0-9), letras (a-z, A-Z) e hifens (-)

  Importante

  Cada cofre de chaves deve ter um nome exclusivo. Substitua <seu-nome-de cofre-de-chaves-exclusivo> pelo nome do seu cofre de chaves nos exemplos a seguir.

• Nome do grupo de recursos: myResourceGroup.

• A localização: EastUS.

az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup" --location "EastUS" 

A saída deste comando mostra as propriedades do cofre de chaves recém-criado. Anote estas duas propriedades:

• Nome do cofre: o nome que você forneceu ao parâmetro --name.
• URI do cofre: neste exemplo, ele é https://<seu-nome-do-cofre-exclusivo>.vault.azure.net/. Aplicativos que usam seu cofre via API REST devem usar esse URI.

Nesse ponto, sua conta do Azure é a única autorizada a executar qualquer operação nesse novo cofre.

Dê aos usuários da conta permissões para gerenciar segredos no Key Vault

Para conceder permissões de conta de usuário ao cofre de chaves por meio do controle de acesso baseado em função (RBAC), atribua uma função usando o comando az role assignment create da CLI do Azure.

az role assignment create --role "Key Vault Secrets User" --assignee "<your-email-address>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Substitua <seu-endereço-de-email>, <id-da-assinatura>, <nome-do-grupo-de-recursos> e <seu-nome-do-cofre-exclusivo> pelos valores reais. <seu-endereço-de-email> é seu nome de entrada.

Adicionar um segredo ao Key Vault

Para adicionar um segredo ao cofre, basta executar algumas etapas adicionais. Essa senha pode ser usada por um aplicativo. A senha será chamada ExamplePassword e armazenará o valor hVFkk965BuUv nela.

Use o comando az keyvault secret set da CLI do Azure abaixo para criar um segredo no Key Vault chamado ExamplePassword que armazenará o valor hVFkk965BuUv:

az keyvault secret set --vault-name "<your-unique-keyvault-name>" --name "ExamplePassword" --value "hVFkk965BuUv"

Recuperar um segredo do Key Vault

Agora, você pode fazer referência a essa senha que foi adicionada ao Azure Key Vault usando seu URI. Use https://<your-unique-keyvault-name>.vault.azure.net/secrets/ExamplePassword para obter a versão atual.

Para ver o valor contido no segredo como um texto sem formatação, use o comando az keyvault secret show da CLI do Azure:

az keyvault secret show --name "ExamplePassword" --vault-name "<your-unique-keyvault-name>" --query "value"

Agora, você criou um Key Vault, armazenou um segredo e o recuperou.

Limpar os recursos

Outros guias de início rápido e tutoriais da coleção aproveitam esse guia de início rápido. Se você planeja continuar a trabalhar com os tutoriais e inícios rápidos subsequentes, deixe esses recursos onde estão.

Quando não forem mais necessários, você poderá usar o comando az group delete da CLI do Azure para remover o grupo de recursos e todos os recursos relacionados:

az group delete --name "myResourceGroup"

Próximas etapas

Neste início rápido, você criou um Key Vault e armazenou um segredo nele. Para saber mais sobre o Key Vault e como integrá-lo a seus aplicativos, confira os artigos abaixo.

• Leia uma Visão geral do Azure Key Vault
• Saiba como armazenar segredos de várias linhas no Key Vault
• Confira a referência dos comandos az keyvault da CLI do Azure
• Examine a Visão geral de segurança do Key Vault