Självstudie: Hantera Azure Database for MySQL – Autentiseringsuppgifter för flexibel server i Azure Key Vault

Du kan lagra Azure Database for MySQL – flexibel server anslutningssträng i Azure Key Vault för att säkerställa att känslig information hanteras på ett säkert sätt och endast används av behöriga användare eller program. Dessutom kan alla ändringar av anslutningssträng enkelt uppdateras i Key Vault utan att ändra programkoden.

Förutsättningar

• Du behöver en Azure-prenumerationen. Om du inte redan har en prenumeration skapar du ett kostnadsfritt konto innan du börjar.
• All åtkomst till hemligheter sker via Azure Key Vault. I den här snabbstarten skapar du ett nyckelvalv med hjälp av Azure Portal, Azure CLI eller Azure PowerShell. Kontrollera att du har de behörigheter som krävs för att hantera och komma åt Key Vault.
• Installera .NET, Java eller PHP eller Python baserat på det ramverk som du använder för ditt program.

Lägga till en hemlighet i Key Vault

Följ stegen för att lägga till en hemlighet i valvet:

1. Gå till ditt nya nyckelvalv i Azure-portalen.
2. På sidan Key Vault-inställningar väljer du Hemligheter.
3. Välj Generera/Importera.
4. På sidan Skapa en hemlighet anger du följande information:
   • Uppladdningsalternativ: Manuell.
   • Namn: Ange ett namn på hemligheten. Det hemliga namnet måste vara unikt i ett nyckelvalv. Namnet måste vara en sträng på 1–127 tecken, som börjar med en bokstav och endast innehåller 0–9, a-z, A-Z och -. Mer information om namngivning finns i Key Vault-objekt, identifierare och versionshantering
   • Värde: Ange ett värde för hemligheten. Key Vault-API:er accepterar och returnerar hemliga värden som strängar.
   • Lämna standardvärdena för de andra alternativen. Välj Skapa.

När du får meddelandet om att hemligheten har skapats kan du välja den i listan.

Mer information finns i Om Azure Key Vault-hemligheter

Konfigurera åtkomstprinciper

I Key Vault-inställningarna konfigurerar du lämpliga åtkomstprinciper för att bevilja åtkomst till de användare eller program som behöver hämta Azure Database for MySQL – flexibel server anslutningssträng från Key Vault. Se till att nödvändiga behörigheter beviljas för "Get"-åtgärder för hemligheter.

1. I Azure Portal navigerar du till Key Vault-resursen.
2. Välj fliken Åtkomstpolicyer och välj Skapa.
3. Välj de behörigheter du vill ha under Nyckelbehörigheter, Hemliga behörigheter och Certifikatbehörigheter.
4. Under fönstret Principal selection (Huvudnamn ) anger du namnet på användaren, appen eller tjänstens huvudnamn i sökfältet och väljer lämpligt resultat. Om du använder en hanterad identitet för appen söker du efter och väljer namnet på själva appen.
5. Granska ändringarna av åtkomstprincipen och välj Skapa för att spara åtkomstprincipen.
6. På sidan Åtkomstprinciper kontrollerar du att din åtkomstprincip visas.

Hämta Azure Database for MySQL – flexibel server anslutningssträng

I ditt program eller skript använder du Azure Key Vault SDK eller klientbibliotek för att autentisera och hämta Azure Database for MySQL – flexibel server anslutningssträng från Key Vault. Du måste ange lämpliga autentiseringsuppgifter och åtkomstbehörigheter för att få åtkomst till Key Vault. När du har hämtat Azure Database for MySQL – flexibel server anslutningssträng från Azure Key Vault kan du använda den i ditt program för att upprätta en anslutning till databasen Azure Database for MySQL – flexibel server. Skicka den hämtade anslutningssträng som en parameter till databasanslutningskoden.

Kodexempel för att hämta anslutningssträng

Här följer några kodexempel för att hämta anslutningssträng från nyckelvalvshemligheten.

.NET

I den här koden använder vi Azure SDK för .NET. Vi definierar URI:n för vårt nyckelvalv och namnet på hemligheten (anslutningssträng) som vi vill hämta. Sedan skapar vi ett nytt DefaultAzureCredential-objekt som representerar autentiseringsinformationen för vårt program för åtkomst till Key Vault.

using System;
using System.Threading.Tasks;
using Azure.Identity;
using Azure.Security.KeyVault.Secrets;

namespace KeyVaultDemo
{
    class Program
    {
        static async Task Main(string[] args)
        {
            var kvUri = "https://my-key-vault.vault.azure.net/";
            var secretName = "my-db-conn-string";

            var credential = new DefaultAzureCredential();
            var client = new SecretClient(new Uri(kvUri), credential);

            var secret = await client.GetSecretAsync(secretName);
            var connString = secret.Value;

            Console.WriteLine($"Connection string retrieved: {connString}");
        }
    }
}

Java

I den här Java-koden använder vi Azure SDK för Java för att interagera med Azure Key Vault. Först definierar vi key vault-URL:en och namnet på hemligheten (anslutningssträng) som vi vill hämta. Sedan skapar vi ett SecretClient-objekt med klassen SecretClientBuilder. Vi anger Key Vault-URL:en och anger StandardAzureCredential för att autentisera med Microsoft Entra-ID. DefaultAzureCredential autentiserar automatiskt med hjälp av tillgängliga autentiseringsuppgifter, till exempel miljövariabler, hanterade identiteter eller Visual Studio Code-autentisering.

Sedan använder vi metoden getSecret på SecretClient för att hämta hemligheten. Metoden returnerar ett KeyVaultSecret-objekt , från vilket vi kan hämta det hemliga värdet med metoden getValue . Slutligen skriver vi ut den hämtade anslutningssträng till konsolen. Ersätt keyVaultUrl - och secretName-variablerna med din egen KEY Vault-URL och ditt hemliga namn. Sedan skapar vi ett nytt SecretClient-objekt och skickar in Key Vault-URI:n och autentiseringsobjektet. Vi kan sedan anropa metoden GetSecretAsync på klientobjektet och skicka in namnet på den hemlighet som vi vill hämta.

import com.azure.identity.DefaultAzureCredentialBuilder;
import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;
import com.azure.security.keyvault.secrets.models.KeyVaultSecret;

public class KeyVaultDemo {

    public static void main(String[] args) {
        String keyVaultUrl = "https://my-key-vault.vault.azure.net/";
        String secretName = "my-db-conn-string";

        SecretClient secretClient = new SecretClientBuilder()
                .vaultUrl(keyVaultUrl)
                .credential(new DefaultAzureCredentialBuilder().build())
                .buildClient();

        KeyVaultSecret secret = secretClient.getSecret(secretName);
        String connString = secret.getValue();

        System.out.println("Connection string retrieved: " + connString);
    }
}

PHP

I den här PHP-koden behöver vi först den nödvändiga filen för automatisk inläsning och importera de klasser som krävs från Azure SDK för PHP. Vi definierar variabeln $keyVaultUrl med URL:en för ditt Azure Key Vault och $secretName variabel med namnet på den hemlighet (anslutningssträng) som du vill hämta. Sedan skapar vi ett DefaultAzureCredential-objekt för att autentisera med Microsoft Entra-ID, som automatiskt hämtar de tillgängliga autentiseringsuppgifterna från din miljö.

Sedan skapar vi ett SecretClient-objekt som skickar Key Vault-URL:en och autentiseringsobjektet för att autentisera med Key Vault. Metoden getSecret på SecretClient kan hämta hemligheten genom att skicka $secretName. Metoden returnerar ett KeyVaultSecret-objekt, från vilket vi kan hämta det hemliga värdet med metoden getValue. Slutligen skriver vi ut den hämtade anslutningssträng till konsolen. Se till att de nödvändiga Azure SDK-paketen är installerade och att filen för automatisk inläsning ingår korrekt i PHP-projektet.

require_once 'vendor/autoload.php';

use Azure\Identity\DefaultAzureCredential;
use Azure\Security\KeyVault\Secrets\SecretClient;

$keyVaultUrl = 'https://my-key-vault.vault.azure.net/';
$secretName = 'my-db-conn-string';

$credential = new DefaultAzureCredential();
$client = new SecretClient($keyVaultUrl, $credential);

$secret = $client->getSecret($secretName);
$connString = $secret->getValue();

echo 'Connection string retrieved: ' . $connString;

Python

I den här Python-koden importerar vi först de moduler som behövs från Azure SDK för Python. Vi definierar variabeln key_vault_url med URL:en för ditt Azure Key Vault och secret_name variabel med namnet på den hemlighet (anslutningssträng) som du vill hämta. Sedan skapar vi ett DefaultAzureCredential-objekt för att autentisera med Microsoft Entra-ID. DefaultAzureCredential autentiserar automatiskt med hjälp av tillgängliga autentiseringsuppgifter, till exempel miljövariabler, hanterade identiteter eller Visual Studio Code-autentisering.

Sedan skapar vi ett SecretClient-objekt som skickar Key Vault-URL:en och autentiseringsobjektet för att autentisera med Key Vault. Metoden get_secret på SecretClient kan hämta hemligheten genom att skicka secret_name. Metoden returnerar ett KeyVaultSecret-objekt som vi kan hämta det hemliga värdet från med hjälp av värdeegenskapen. Slutligen skriver vi ut den hämtade anslutningssträng till konsolen. Ersätt variablerna key_vault_url och secret_name med din egen URL och ditt hemliga namn för Key Vault.

from azure.identity import DefaultAzureCredential
from azure.keyvault.secrets import SecretClient

key_vault_url = "https://my-key-vault.vault.azure.net/"
secret_name = "my-db-conn-string"

credential = DefaultAzureCredential()
secret_client = SecretClient(vault_url=key_vault_url, credential=credential)

secret = secret_client.get_secret(secret_name)
conn_string = secret.value

print("Connection string retrieved:", conn_string)

Gå vidare

Azure Key Vault-klientbibliotek