Início Rápido: Definir e obter um segredo do Azure Key Vault com a CLI do Azure

  • Artigo

Neste início rápido, você cria um cofre de chaves no Cofre de Chaves do Azure com a CLI do Azure. O Azure Key Vault é um serviço cloud que funciona como um arquivo de segredos seguro. Pode armazenar chaves, palavras-passe, certificados e outros segredos em segurança. Para obter mais informações sobre o Key Vault, pode ver a Descrição Geral. A CLI do Azure é utilizada para criar e gerir recursos do Azure através de comandos ou scripts. Depois de concluir este passo, irá armazenar um segredo.

Se não tiver uma subscrição do Azure, crie uma conta gratuita do Azure antes de começar.

Pré-requisitos

  • Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, consulte Guia de início rápido para Bash no Azure Cloud Shell.

  • Se preferir executar comandos de referência da CLI localmente, instale a CLI do Azure. Se estiver a utilizar o Windows ou macOS, considere executar a CLI do Azure num contentor Docker. Para obter mais informações, consulte Como executar a CLI do Azure em um contêiner do Docker.

    • Se estiver a utilizar uma instalação local, inicie sessão no CLI do Azure ao utilizar o comando az login. Para concluir o processo de autenticação, siga os passos apresentados no seu terminal. Para outras opções de entrada, consulte Entrar com a CLI do Azure.

    • Quando solicitado, instale a extensão da CLI do Azure na primeira utilização. Para obter mais informações sobre as extensões, veja Utilizar extensões com o CLI do Azure.

    • Execute o comando az version para localizar a versão e as bibliotecas dependentes instaladas. Para atualizar para a versão mais recente, execute o comando az upgrade.

Este início rápido requer a versão 2.0.4 ou posterior da CLI do Azure. Se estiver usando o Azure Cloud Shell, a versão mais recente já está instalada.

Criar um grupo de recursos

Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos. Use o comando az group create para criar um grupo de recursos chamado myResourceGroup no local eastus .

az group create --name "myResourceGroup" --location "EastUS"

Criar um cofre de chaves

Use o comando Azure CLI az keyvault create para criar um Cofre de Chaves no grupo de recursos da etapa anterior. Terá de fornecer algumas informações:

  • Nome do cofre de chaves: uma cadeia de 3 a 24 caracteres que pode conter apenas números (0-9), letras (a-z, A-Z) e hífenes (-)

    Importante

    Cada cofre de chaves deve ter um nome exclusivo. Substitua <your-unique-keyvault-name> pelo nome do seu cofre de chaves nos exemplos a seguir.

  • Nome do grupo de recursos: myResourceGroup.

  • A localização: EastUS.

az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup" --location "EastUS"

A saída deste comando mostra as propriedades do cofre de chaves recém-criado. Tome nota destas duas propriedades:

  • Nome do --name cofre: o nome fornecido ao parâmetro.
  • URI do Vault: Neste exemplo, o URI do Vault é https://< your-unique-keyvault-name.vault.azure.net/>. As aplicações que utilizam o cofre através da respetiva API têm de utilizar este URI.

Nesta altura, a sua conta do Azure é a única autorizada a realizar quaisquer operações neste novo cofre.

Conceda à sua conta de utilizador permissões para gerir segredos no Cofre da Chave

Para conceder permissões de conta de usuário ao cofre de chaves por meio do RBAC (Controle de Acesso Baseado em Função), atribua uma função usando o comando az role assignment create da CLI do Azure.

az role assignment create --role "Key Vault Secrets User" --assignee "<your-email-address>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Substitua <seu-endereço> de e-mail, <ID> de assinatura, <nome-do-grupo-recurso> e <seu-nome-exclusivo-keyvault-pelos> seus valores reais. <O seu endereço> de e-mail é o seu nome de início de sessão.

Adicionar um segredo ao Key Vault

Para adicionar um segredo ao cofre, apenas tem de efetuar alguns passos adicionais. Esta palavra-passe pode ser utilizada por uma aplicação. A senha será chamada de ExamplePassword e armazenará o valor de hVFkk965BuUv nela.

Use o comando Azure CLI az keyvault secret set abaixo para criar um segredo no Cofre de Chaves chamado ExamplePassword que armazenará o valor hVFkk965BuUv :

az keyvault secret set --vault-name "<your-unique-keyvault-name>" --name "ExamplePassword" --value "hVFkk965BuUv"

Recuperar um segredo do Cofre da Chave

Agora, pode referenciar esta palavra-passe que adicionou ao Azure Key Vault com o respetivo URI. Utilize https://<your-unique-keyvault-name>.vault.azure.net/secrets/ExamplePassword para obter a versão atual.

Para exibir o valor contido no segredo como texto sem formatação, use o comando Azure CLI az keyvault secret show :

az keyvault secret show --name "ExamplePassword" --vault-name "<your-unique-keyvault-name>" --query "value"

Agora, criou um Key Vault, armazenou um segredo e obteve-o.

Clean up resources (Limpar recursos)

Outros inícios rápidos e tutoriais desta coleção têm por base este início rápido. Se quiser continuar a trabalhar com os inícios rápidos e tutoriais subsequentes, pode manter estes recursos.

Quando não for mais necessário, você pode usar o comando azur CLI az group delete para remover o grupo de recursos e todos os recursos relacionados:

az group delete --name "myResourceGroup"

Próximos passos

Neste início rápido, você criou um Cofre de Chaves e armazenou um segredo nele. Para saber mais sobre o Key Vault e como integrá-lo com seus aplicativos, continue nos artigos abaixo.