Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Из этого краткого руководства вы узнаете, как создать хранилище ключей в Azure Key Vault с помощью Azure CLI. Azure Key Vault — это облачная служба, которая работает как защищенное хранилище секретов. Вы можете безопасно хранить ключи, пароли, сертификаты и другие секреты. Подробную информацию о Key Vault см. в разделе «Обзор». Azure CLI используется для создания ресурсов Azure и управления ими с помощью скриптов и команд. После завершения этого вы сохраните ключ.
Если у вас нет аккаунта Azure, создайте бесплатную учетную запись перед началом.
Требования
Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".
Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.
Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".
Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.
Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.
- Для работы с этим кратким руководством требуется Azure CLI версии 2.0.4 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.
Создать группу ресурсов
Группа ресурсов — это логический контейнер, в котором происходит развертывание ресурсов Azure и управление ими. С помощью команды az group create создайте группу ресурсов с именем myResourceGroup в расположении eastus.
az group create --name "myResourceGroup" --location "EastUS"
Создание хранилища ключей
Чтобы создать хранилище ключей в группе ресурсов из предыдущего шага, используйте команду az keyvault create в Azure CLI. Необходимо будет указать следующие сведения:
Имя хранилища ключей. Строка длиной от 3 до 24 символов, которая может содержать только цифры (0–9), буквы (a–z, A–Z) и дефисы (-)
Внимание
Каждое хранилище ключей должно иметь уникальное имя. Замените
<vault-name>именем хранилища ключей в следующих примерах.Имя группы ресурсов: myResourceGroup
Расположение: EastUS
az keyvault create --name "<vault-name>" --resource-group "myResourceGroup" --enable-rbac-authorization true --enable-purge-protection true
Замечание
Защита от окончательного удаления — одна из рекомендаций по обеспечению безопасности Key Vault.
Вывод этой команды показывает свойства новосозданного хранилища ключей. Обратите внимание на эти два свойства.
-
Имя хранилища: имя, предоставленное параметру
--name. -
URI хранилища: В данном примере URI хранилища — это
https://<vault-name>.vault.azure.net/. Необходимо, чтобы приложения, использующие ваше хранилище через REST API, использовали этот URI.
Предоставление учетным записям пользователя разрешений на управление ключами в Key Vault
Чтобы получить разрешения для хранилища ключей с помощью контроль доступа на основе ролей (RBAC), назначьте роль для "User Principal Name" (UPN) с помощью команды az role assignment create.
az role assignment create --role "Key Vault Crypto Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/<vault-name>"
Замените <upn>, <subscription-id>а <vault-name> также фактическими значениями. Если вы использовали другое имя группы ресурсов, замените myResourceGroup. Ваше имя пользователя (UPN) обычно имеет формат адреса электронной почты, например username@domain.com.
Добавьте ключ в Key Vault
Чтобы добавить ключ в хранилище, вам нужно выполнить несколько дополнительных действий. Этот ключ может использоваться приложением.
Введите следующую команду, чтобы создать ключ с именем ExampleKey :
az keyvault key create --vault-name "<vault-name>" -n ExampleKey --protection software
Теперь ключ, добавленный в Azure Key Vault, можно вызвать, используя его URI. Используйте https://<vault-name>.vault.azure.net/keys/ExampleKey , чтобы получить текущую версию.
Чтобы просмотреть ранее сохраненный ключ, выполните следующие действия:
az keyvault key show --name "ExampleKey" --vault-name "<vault-name>"
Теперь вы создали Key Vault, сохранили ключ и получили его.
Очистка ресурсов
Другие краткие руководства и учебные пособия в этой коллекции основаны на этом материале. Если вы планируете продолжить работу с последующими быстрыми стартовыми руководствами и обучающими материалами, можете оставить эти ресурсы без изменений.
Вы можете удалить ставшую ненужной группу ресурсов и все связанные с ней ресурсы с помощью Azure CLI, выполнив команду az group delete:
az group delete --name "myResourceGroup"
Замечание
При удалении группы ресурсов также удаляется хранилище ключей, но затем оно переходит в состояние обратимого удаления и может быть восстановлено в течение срока хранения (по умолчанию 90 дней). Имя хранилища остается зарезервированным глобально в течение этого периода, и поскольку защита очистки включена, хранилище не может быть удалено рано. Для стандартных хранилищ ключей плата за хранилища, помеченные как обратимо удаленные, не взимается. Дополнительные сведения см. в разделе Обзор обратимого удаления в Key Vault.
Следующие шаги
В этом кратком руководстве (quickstart) вы создали Key Vault (хранилище ключей) и сохранили в нем ключ. Чтобы узнать больше о Key Vault и о том, как интегрировать его с приложениями, перейдите к этим статьям.
- Прочитайте Обзор Azure Key Vault
- Справочник по командам для Azure CLI: az keyvault
- Статья Обзор системы безопасности Key Vault
- Ознакомьтесь с рекомендациями по обеспечению безопасности для определенных ключей