Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Из этого краткого руководства вы узнаете, как создать хранилище ключей в Azure Key Vault с помощью Azure CLI. Azure Key Vault — это облачная служба, которая работает как защищенное хранилище секретов. Вы можете безопасно хранить ключи, пароли, сертификаты и другие секреты. Дополнительные сведения о хранилище ключей см. в статье обзора. Azure CLI используется для создания ресурсов Azure и управления ими с помощью скриптов и команд. Создав ресурс, вы сможете сохранить в нем сертификат.
Если у вас нет аккаунта Azure, создайте бесплатную учетную запись перед началом.
Необходимые компоненты
Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".
Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.
Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".
Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.
Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.
- Для работы с этим кратким руководством требуется Azure CLI версии 2.0.4 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.
Создание или изменение группы ресурсов
Группа ресурсов — это логический контейнер, в котором происходит развертывание ресурсов Azure и управление ими. С помощью команды az group create создайте группу ресурсов с именем myResourceGroup в расположении eastus.
az group create --name "myResourceGroup" --location "EastUS"
Создание хранилища ключей
Чтобы создать хранилище ключей в группе ресурсов из предыдущего шага, используйте команду az keyvault create в Azure CLI. Необходимо будет указать следующие сведения:
Имя хранилища ключей. Строка длиной от 3 до 24 символов, которая может содержать только цифры (0–9), буквы (a–z, A–Z) и дефисы (-)
Внимание
Каждое хранилище ключей должно иметь уникальное имя. В следующих примерах замените <your-unique-keyvault-name> именем своего хранилища ключей.
Имя группы ресурсов: myResourceGroup.
Расположение: EastUS.
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup"
В выходных данных команды будут показаны свойства созданного хранилища ключей. Зафиксируйте два его свойства.
-
Имя хранилища: имя, предоставленное параметру
--name. - URI хранилища. В этом примере универсальный код ресурса (URI) хранилища — https://< your-unique-keyvault-name.vault.azure.net/>. Необходимо, чтобы приложения, использующие ваше хранилище через REST API, использовали этот URI.
Предоставление учетным записям пользователя разрешений на управление сертификатами в Key Vault
Чтобы получить разрешения для хранилища ключей с помощью контроль доступа на основе ролей (RBAC), назначьте роль имени участника-пользователя (UPN) с помощью команды Azure CLI az role assignment create.
az role assignment create --role "Key Vault Certificates Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Замените upn<, subscription-id>, <>resource-group-name и <your-unique-keyvault-name>< фактическими значениями.> Имя участника-участника обычно будет иметь формат адреса электронной почты (например, username@domain.com).
Добавление сертификата в Key Vault
Чтобы добавить сертификат в хранилище, вам нужно выполнить несколько дополнительных действий. Этот сертификат может использоваться приложением.
Выполните приведенные ниже команды, чтобы создать самозаверяющий сертификат с политикой по умолчанию — ExampleCertificate.
az keyvault certificate create --vault-name "<your-unique-keyvault-name>" -n ExampleCertificate -p "$(az keyvault certificate get-default-policy)"
Теперь сертификат, добавленный в Azure Key Vault, можно вызвать, используя его URI. Используйте https://<your-unique-keyvault-name>.vault.azure.net/certificates/ExampleCertificate , чтобы получить текущую версию.
Чтобы просмотреть ранее сохраненный сертификат, выполните следующие действия:
az keyvault certificate show --name "ExampleCertificate" --vault-name "<your-unique-keyvault-name>"
Вы создали Key Vault, сохранили в нем сертификат и извлекли его.
Очистка ресурсов
Другие руководства в этой серии созданы на основе этого документа. Если вы планируете продолжить работу с последующими краткими руководствами и статьями, эти ресурсы можно не удалять.
Вы можете удалить ставшую ненужной группу ресурсов и все связанные с ней ресурсы с помощью Azure CLI, выполнив команду az group delete:
az group delete --name "myResourceGroup"
Следующие шаги
Из этого краткого руководства вы узнали, как создать Key Vault и сохранить в нем сертификат. Дополнительные сведения о Key Vault и его интеграции в приложения см. в следующих статьях.
- Обзор Azure Key Vault
- Справочник по командам az keyvault для Azure CLI
- Статья Обзор системы безопасности Key Vault