Partilhar via


Início Rápido: Definir e obter um segredo do Azure Key Vault com o PowerShell

O Azure Key Vault é um serviço cloud que funciona como um arquivo de segredos seguro. Pode armazenar chaves, palavras-passe, certificados e outros segredos em segurança. Para obter mais informações sobre o Key Vault, pode ver a Descrição Geral. Neste início rápido, você usa o Azure PowerShell para criar um cofre de chaves. Em seguida, vai armazenar um segredo no cofre recém-criado.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Azure Cloud Shell

O Azure aloja o Azure Cloud Shell, um ambiente de shell interativo que pode utilizar através do seu browser. Pode utilizar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.

Para iniciar o Azure Cloud Shell:

Opção Exemplo/Ligação
Selecione Experimentar no canto superior direito de um código ou bloco de comandos. Selecionar Experimentar não copia automaticamente o código ou comando para o Cloud Shell. Captura de tela que mostra um exemplo de Try It for Azure Cloud Shell.
Aceda a https://shell.azure.com ou selecione o botão Iniciar Cloud Shell para abrir o Cloud Shell no browser. Botão para iniciar o Azure Cloud Shell.
Selecione o botão Cloud Shell na barra de menus, na parte direita do portal do Azure. Captura de tela que mostra o botão Cloud Shell no portal do Azure

Para usar o Azure Cloud Shell:

  1. Inicie o Cloud Shell.

  2. Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou comando.

  3. Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.

  4. Selecione Enter para executar o código ou comando.

Se você optar por instalar e usar o PowerShell localmente, este tutorial exigirá o módulo do Azure PowerShell versão 5.0.0 ou posterior. Digite Get-InstalledModule -Name Az para encontrar a versão. Se você precisar atualizar, consulte Como instalar o Azure PowerShell. Se estiver a executar localmente o PowerShell, também terá de executar o Connect-AzAccount para criar uma ligação com o Azure.

Connect-AzAccount

Criar um grupo de recursos

Um grupo de recursos é um contentor lógico no qual os recursos do Azure são implementados e geridos. Use o cmdlet New-AzResourceGroup do Azure PowerShell para criar um grupo de recursos chamado myResourceGroup no local eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Criar um cofre de chaves

Use o cmdlet New-AzKeyVault do Azure PowerShell para criar um Cofre da Chave no grupo de recursos da etapa anterior. Você precisa fornecer algumas informações:

  • Nome do cofre de chaves: uma cadeia de 3 a 24 caracteres que pode conter apenas números (0-9), letras (a-z, A-Z) e hífenes (-)

    Importante

    Cada cofre de chaves deve ter um nome exclusivo. Substitua <your-unique-keyvault-name> pelo nome do seu cofre de chaves nos exemplos a seguir.

  • Nome do grupo de recursos: myResourceGroup.

  • A localização: EastUS.

New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"

O resultado deste cmdlet mostra as propriedades do cofre de chaves recém-criado. Tome nota destas duas propriedades:

  • Nome do cofre: o nome fornecido ao parâmetro -Name.
  • URI do Vault: No exemplo, esse URI é https://< your-unique-keyvault-name.vault.azure.net/>. As aplicações que utilizam o cofre através da respetiva API têm de utilizar este URI.

Nesta altura, a sua conta do Azure é a única autorizada a realizar quaisquer operações neste novo cofre.

Conceda à sua conta de utilizador permissões para gerir segredos no Cofre da Chave

Para obter permissões para seu cofre de chaves por meio do RBAC (Controle de Acesso Baseado em Função), atribua uma função ao seu "Nome Principal do Usuário" (UPN) usando o cmdlet New-AzRoleAssignment do Azure PowerShell.

New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Secrets Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Substitua <upn>, <subscription-id>, <resource-group-name> e <your-unique-keyvault-name> pelos seus valores reais. Seu UPN normalmente estará no formato de um endereço de e-mail (por exemplo, username@domain.com).

Adicionar um segredo ao Key Vault

Para adicionar um segredo ao cofre, apenas tem de efetuar alguns passos. Neste caso, vai adicionar uma palavra-passe que possa ser utilizada por uma aplicação. A senha é chamada ExamplePassword e armazena o valor de hVFkk965BuUv nela.

Primeiro, execute o seguinte comando e digite o valor hVFkk965BuUv quando solicitado a convertê-lo em uma cadeia de caracteres segura:

$secretvalue = Read-Host -Prompt 'Enter the example password' -AsSecureString

Em seguida, use o cmdlet Set-AzKeyVaultSecret do Azure PowerShell para criar um segredo no Cofre de Chaves chamado ExamplePassword com o valor hVFkk965BuUv :

$secret = Set-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -SecretValue $secretvalue

Recuperar um segredo do Cofre da Chave

Para exibir o valor contido no segredo como texto sem formatação, use o cmdlet Get-AzKeyVaultSecret do Azure PowerShell:

$secret = Get-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -AsPlainText

Agora, criou um Key Vault, armazenou um segredo e obteve-o.

Clean up resources (Limpar recursos)

Outros inícios rápidos e tutoriais desta coleção têm por base este início rápido. Se quiser continuar a trabalhar com outros inícios rápidos e tutoriais, pode manter estes recursos.

Quando não for mais necessário, você poderá usar o comando Remove-AzResourceGroup para remover o grupo de recursos, o Cofre de Chaves e todos os recursos relacionados.

Remove-AzResourceGroup -Name myResourceGroup

Próximos passos

Neste início rápido, você criou um Cofre de Chaves e armazenou um segredo nele. Para saber mais sobre o Key Vault e como integrá-lo com seus aplicativos, continue nos artigos abaixo.