Exercício – Criar um cofre de chaves e armazenar segredos
Criar cofres de chaves para seus aplicativos
Uma melhor prática é criar um cofre separado para cada ambiente de implantação de cada um de seus aplicativos, como desenvolvimento, teste e produção. É possível usar um único cofre para armazenar segredos para vários aplicativos e ambientes, mas o impacto de um invasor obter acesso de leitura a um cofre aumenta com o número de segredos no cofre.
Dica
Se você usar os mesmos nomes de segredos em ambientes diferentes para um aplicativo, a única configuração específica do ambiente que precisará ser alterada no aplicativo será a URL do cofre.
A criação de um cofre não exige nenhuma configuração inicial. A identidade de usuário recebe automaticamente o conjunto completo de permissões de gerenciamento de segredos. Você pode começar a adicionar segredos imediatamente. Depois que tiver um cofre, você poderá adicionar e gerenciar segredos de qualquer interface administrativa do Azure, incluindo o portal do Azure, a CLI do Azure e o Azure PowerShell. Quando você configurar seu aplicativo para usar o cofre, precisará atribuir as permissões corretas a ele, conforme descrito na próxima unidade.
Criar o cofre de chaves e armazenar o segredo nele
Considerando todos os problemas que a empresa enfrenta com segredos do aplicativo, a gerência solicitou que você criasse um aplicativo inicial pequeno para colocar os outros desenvolvedores no caminho certo. O aplicativo precisa demonstrar as melhores práticas para o gerenciamento de segredos da forma mais simples e segura possível.
Para começar, crie um cofre e armazene um segredo nele.
Criar o Key Vault
Os nomes do cofre de chaves precisam ser globalmente exclusivos e, portanto, você precisará escolher um nome exclusivo. Os nomes de cofre precisam ter de 3 a 24 caracteres e conter somente caracteres alfanuméricos e traços. Anote o nome do cofre escolhido, pois você precisará dele neste exercício.
Para criar seu cofre, execute o comando a seguir no Azure Cloud Shell. Certifique-se de inserir o nome exclusivo do cofre para o parâmetro --name.
az keyvault create \
--resource-group "<rgn>[sandbox resource group name]</rgn>" \
--location centralus \
--name <your-unique-vault-name>
Após a conclusão, será exibida a saída JSON que descreve o novo cofre.
Dica
O comando usou o grupo de recursos pré-criado chamado
Adicionar o segredo
Agora, adicionar o segredo. Nosso segredo é nomeado SecretPassword com um valor de reindeer_flotilla. Substitua <your-unique-vault-name> pelo nome do cofre que você criou no parâmetro --vault-name.
az keyvault secret set \
--name SecretPassword \
--value reindeer_flotilla \
--vault-name <your-unique-vault-name>
Você gravará o código do aplicativo em breve, mas primeiro precisará aprender um pouco mais sobre como será a autenticação de seu aplicativo em um cofre.