Partilhar via

Configurar o Cofre da Chave para máquinas virtuais usando o Azure PowerShell

  • Artigo

Aplica-se a: ✔️ Linux VMs ✔️ Windows VMs ✔️ Conjuntos de escala flexível

Nota

O Azure tem dois modelos de implantação diferentes que você pode usar para criar e trabalhar com recursos: Azure Resource Manager e clássico. Este artigo aborda o uso do modelo de implantação do Resource Manager. Recomendamos o modelo de implantação do Resource Manager para novas implantações em vez do modelo de implantação clássico.

Na pilha do Azure Resource Manager, segredos/certificados são modelados como recursos fornecidos pelo provedor de recursos do Cofre de Chaves. Para saber mais sobre o Cofre da Chave, consulte O que é o Cofre da Chave do Azure?

Nota

  1. Para que o Cofre da Chave seja usado com máquinas virtuais do Azure Resource Manager, a propriedade EnabledForDeployment no Cofre da Chave deve ser definida como true. Você pode fazer isso em vários clientes.
  2. O Cofre da Chave precisa ser criado na mesma assinatura e local que a Máquina Virtual.

Usar o PowerShell para configurar o Cofre da Chave

Para criar um cofre de chaves usando o PowerShell, consulte Definir e recuperar um segredo do Cofre de Chaves do Azure usando o PowerShell.

Para novos cofres de chaves, você pode usar este cmdlet do PowerShell:

New-AzKeyVault -VaultName 'ContosoKeyVault' -ResourceGroupName 'ContosoResourceGroup' -Location 'East Asia' -EnabledForDeployment

Para cofres de chaves existentes, você pode usar este cmdlet do PowerShell:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoKeyVault' -EnabledForDeployment

Usar a CLI para configurar o Cofre da Chave

Para criar um cofre de chaves usando a interface de linha de comando (CLI), consulte Gerenciar cofre de chaves usando CLI.

Para a CLI, você precisa criar o cofre de chaves antes de atribuir a política de implantação. Pode fazê-lo utilizando o comando seguinte:

az keyvault create --name "ContosoKeyVault" --resource-group "ContosoResourceGroup" --location "EastAsia"

Em seguida, para habilitar o Cofre da Chave para uso com a implantação de modelo, execute o seguinte comando:

az keyvault update --name "ContosoKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-deployment "true"

Usar modelos para configurar o Cofre da Chave

Ao usar um modelo, você precisa definir a enabledForDeployment propriedade como true para o recurso Cofre da Chave.

{
  "type": "Microsoft.KeyVault/vaults",
  "name": "ContosoKeyVault",
  "apiVersion": "2015-06-01",
  "location": "<location-of-key-vault>",
  "properties": {
    "enabledForDeployment": "true",
    ....
    ....
  }
}

Para obter outras opções que você pode configurar ao criar um cofre de chaves usando modelos, consulte Criar um cofre de chaves.