Поделиться через

Учебник. Использование Azure Key Vault с виртуальной машиной в Python

Azure Key Vault помогает защищать ключи, секреты и сертификаты, например ключи API и строки подключения к базам данных.

В этом руководстве вы научитесь настраивать приложение Python для считывания информации из Azure Key Vault с помощью управляемых удостоверений для ресурсов Azure. Вы узнаете, как:

  • Создание хранилища ключей
  • хранение секрета в Key Vault;
  • Создать виртуальную машину Azure с Linux
  • Включите управляемое удостоверение для виртуальной машины.
  • предоставление разрешений, необходимых консольному приложению для чтения данных из Key Vault;
  • Извлеките секрет из Key Vault.

Перед началом работы ознакомьтесь c основными понятиями службы Key Vault.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись.

Предпосылки

Для Windows, Mac и Linux:

  • Git
  • Для этого руководства требуется запустить Azure CLI локально. Необходимо установить Azure CLI версии 2.0.4 или более поздней. Чтобы узнать версию, выполните команду az --version. Если вам необходимо установить или обновить CLI, ознакомьтесь со статьей Установка Azure CLI 2.0.

Вход в Azure

Чтобы войти в Azure с помощью Azure CLI, введите следующую команду:

az login

Создание группы ресурсов и хранилища ключей

В этом кратком руководстве используется предварительно созданное хранилище ключей Azure. Вы можете создать хранилище ключей, выполнив действия, описанные в следующих кратких руководствах.

Кроме того, можно выполнять эти команды Azure CLI или Azure PowerShell.

Это важно

Каждое хранилище ключей должно иметь уникальное имя. В следующих примерах замените <your-unique-keyvault-name> именем своего хранилища ключей.

az group create --name "myResourceGroup" -l "EastUS"

az keyvault create --name "<your-unique-keyvault-name>" -g "myResourceGroup" --enable-rbac-authorization

Запись секрета в хранилище ключей

Мы создадим секрет с именем mySecret и значением Success!. Секретом может быть пароль, строка подключения SQL или другие сведения, которые должны быть защищены и при этом доступны приложению.

Чтобы добавить секрет в новое созданное хранилище ключей, используйте следующую команду:

az keyvault secret set --vault-name "<your-unique-keyvault-name>" --name "mySecret" --value "Success!"

Создание виртуальной машины

Создайте виртуальную машину с именем myVM одним из следующих способов:

Линукс Виндоус
Azure CLI Azure CLI
PowerShell PowerShell
Портал Azure Портал Azure

Чтобы создать виртуальную машину Linux с помощью Azure CLI, используйте команду az vm create. В примере ниже добавляется учетная запись пользователя с именем azureuser. Параметр --generate-ssh-keys автоматически создает ключ SSH и сохраняет его в стандартное расположение (~/.ssh).

az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image Ubuntu2204 \
  --admin-username azureuser \
  --generate-ssh-keys

Запишите значение publicIpAddress в выходных данных.

Назначьте удостоверение виртуальной машине

Создайте назначаемое системой удостоверение для виртуальной машины с помощью команды Azure CLI az vm identity assign:

az vm identity assign --name "myVM" --resource-group "myResourceGroup"

Обратите внимание на присвоенный системой идентификатор, который отображается в следующем коде. Выходные данные приведенной выше команды выглядят следующим образом.

{
  "systemAssignedIdentity": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "userAssignedIdentities": {}
}

Назначение разрешения для идентификатора виртуальной машины

Чтобы получить доступ к хранилищу ключей через контроль доступа на основе ролей (RBAC), сначала назначьте роль для учетной записи пользователя (UPN) с помощью команды Azure CLI az role assignment create.

az role assignment create --role "Key Vault Secrets User" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Замените <upn>, <subscription-id>, <resource-group-name> и <your-unique-keyvault-name> на ваши фактические значения. Ваше Уникальное Имя Пользователя (UPN) обычно имеет формат адреса электронной почты (например, username@domain.com).

Вход на виртуальную машину

Чтобы войти в виртуальную машину, следуйте инструкциям по подключению и входу в виртуальную машину Azure на платформе Windows или Linux.

Чтобы войти на виртуальную машину Linux, можно использовать команду SSH с <publicIpAddress> из шага по созданию виртуальной машин:

ssh azureuser@<PublicIpAddress>

Установка библиотек Python на виртуальной машине

На виртуальной машине установите две библиотеки Python, которые будут использоваться в нашем скрипте Python: azure-keyvault-secrets и azure.identity.

Например, на виртуальной машине Linux их можно установить с помощью pip3:

pip3 install azure-keyvault-secrets

pip3 install azure.identity

Создание и изменение примера скрипта Python

На виртуальной машине создайте файл Python с именем sample.py. Измените файл, чтобы он содержал следующий код, заменив <your-unique-keyvault-name> именем своего хранилища ключей:

from azure.keyvault.secrets import SecretClient
from azure.identity import DefaultAzureCredential

key_vault_name = "<your-unique-keyvault-name>"
key_vault_uri = f"https://{key_vault_name}.vault.azure.net"
secret_name = "mySecret"

credential = DefaultAzureCredential()
client = SecretClient(vault_url=key_vault_uri, credential=credential)
retrieved_secret = client.get_secret(secret_name)

print(f"The value of secret '{secret_name}' in '{key_vault_name}' is: '{retrieved_secret.value}'")

Запуск примера приложения Python

Теперь выполните sample.py. Если все прошло хорошо, должно вернуться значение секрета:

python3 sample.py

The value of secret 'mySecret' in '<your-unique-keyvault-name>' is: 'Success!'

Очистка ресурсов

Когда они больше не нужны, удалите виртуальную машину и хранилище ключей. Можно быстро закончить, удалив группу ресурсов, к которой они принадлежат.

az group delete -g myResourceGroup

Дальнейшие действия

Справочник по REST API для Azure Key Vault