Início Rápido: definir e recuperar um segredo do Azure Key Vault usando o PowerShell
O Azure Key Vault é um serviço de nuvem que funciona como um repositório de segredos seguro. Você pode armazenar chaves, senhas, certificados e outros segredos com segurança. Para saber mais sobre o Key Vault, reveja a Visão geral. Neste início rápido, você usará o PowerShell para criar um cofre de chaves. Em seguida, você armazenará o segredo no cofre recém-criado.
Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
Azure Cloud Shell
O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que pode ser usado por meio do navegador. É possível usar o bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. É possível usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada no seu ambiente local.
Para iniciar o Azure Cloud Shell:
Opção | Exemplo/Link |
---|---|
Selecione Experimentar no canto superior direito de um bloco de código ou de comando. Selecionar Experimentar não copia automaticamente o código nem o comando para o Cloud Shell. | |
Acesse https://shell.azure.com ou selecione o botão Iniciar o Cloud Shell para abri-lo no navegador. | |
Selecione o botão Cloud Shell na barra de menus no canto superior direito do portal do Azure. |
Para usar o Azure Cloud Shell:
Inicie o Cloud Shell.
Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou o comando.
Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e no Linux, ou selecionando Cmd+Shift+V no macOS.
Selecione Enter para executar o código ou o comando.
Se você optar por instalar e usar o PowerShell localmente, este tutorial exigirá o módulo do Azure PowerShell versão 5.0.0 ou posterior. Digite Get-Module az -ListAvailable
para encontrar a versão. Se você precisa atualizar, consulte Instalar o módulo do Azure PowerShell. Se você estiver executando o PowerShell localmente, também precisará executar o Connect-AzAccount
para criar uma conexão com o Azure.
Connect-AzAccount
Criar um grupo de recursos
Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Use o cmdlet New-AzResourceGroup do Azure PowerShell para criar um grupo de recursos chamado myResourceGroup na localização eastus.
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Criar um cofre de chaves
Use o cmdlet New-AzKeyVault do Azure PowerShell para criar um Key Vault no grupo de recursos da etapa anterior. Você precisará fornecer algumas informações:
Nome do cofre de chaves: uma cadeia de 3 a 24 caracteres contendo somente números (0-9), letras (a-z, A-Z) e hifens (-)
Importante
Cada cofre de chaves deve ter um nome exclusivo. Substitua <seu-nome-de cofre-de-chaves-exclusivo> pelo nome do seu cofre de chaves nos exemplos a seguir.
Nome do grupo de recursos: myResourceGroup.
A localização: EastUS.
New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"
A saída desse cmdlet mostra as propriedades do cofre de chaves criado recentemente. Anote as duas propriedades listadas abaixo:
- Nome do cofre: o nome que você forneceu ao parâmetro -Name acima.
- URI do cofre: No exemplo, ele é https://<nome-exclusivo-do-cofre-de-chaves>.vault.azure.net/. Aplicativos que usam seu cofre via API REST devem usar esse URI.
Nesse ponto, sua conta do Azure é a única autorizada a executar qualquer operação nesse novo cofre.
Dê aos usuários da conta permissões para gerenciar segredos no Key Vault
Para conceder permissões de aplicativo ao cofre de chaves por meio do Controle de Acesso Baseado em Função (RBAC), atribua uma função usando o cmdlet New-AzRoleAssignment do Azure PowerShell.
New-AzRoleAssignment -RoleDefinitionName "Key Vault Secrets User" -SignInName "<your-email-address>" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Substitua <your-email-address>, <subscription-id>, <resource-group-name> e <your-unique-keyvault-name> pelos valores reais. <your-email-address> é seu nome de entrada; em vez disso, você pode usar o parâmetro -ObjectId
e uma ID de Objeto do Microsoft Entra.
Adicionando um segredo ao Key Vault
Para adicionar um segredo ao cofre, basta executar algumas etapas. Nesse caso, adicione uma senha que pode ser usada por um aplicativo. A senha é chamada ExamplePassword e armazena o valor hVFkk965BuUv nela.
Primeiro, converta o valor hVFkk965BuUv em uma cadeia de caracteres segura digitando:
$secretvalue = ConvertTo-SecureString "hVFkk965BuUv" -AsPlainText -Force
Em seguida, use o cmdlet Set-AzKeyVaultSecret do Azure PowerShell para criar um segredo no Key Vault chamado ExamplePassword com o valor hVFkk965BuUv:
$secret = Set-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -SecretValue $secretvalue
Recuperar um segredo do Key Vault
Para ver o valor contido no segredo como um texto sem formatação, use o cmdlet Get-AzKeyVaultSecret do Azure PowerShell:
$secret = Get-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -AsPlainText
Agora, você criou um Key Vault, armazenou um segredo e o recuperou.
Limpar os recursos
Outros guias de início rápido e tutoriais da coleção aproveitam esse guia de início rápido. Se você planeja continuar a trabalhar com outros tutoriais e inícios rápidos, deixe esses recursos onde estão.
Quando não for mais necessário, use o comando Remove-AzResourceGroup para remover o grupo de recursos, o Key Vault e todos os recursos relacionados.
Remove-AzResourceGroup -Name myResourceGroup
Próximas etapas
Neste início rápido, você criou um Key Vault e armazenou um segredo nele. Para saber mais sobre o Key Vault e como integrá-lo a seus aplicativos, confira os artigos abaixo.
- Leia uma Visão geral do Azure Key Vault
- Saiba como armazenar segredos de várias linhas no Key Vault
- Confira a referência dos cmdlets do Key Vault do Azure PowerShell
- Examine a Visão geral de segurança do Key Vault