Hızlı Başlangıç: JavaScript için Azure Key Vault anahtar istemci kitaplığı

JavaScript için Azure Key Vault anahtar istemci kitaplığını kullanmaya başlayın. Azure Key Vault , şifreleme anahtarları için güvenli bir depo sağlayan bir bulut hizmetidir. Anahtarları, parolaları, sertifikaları ve diğer gizli dizileri güvenli bir şekilde depolayabilirsiniz. Azure anahtar kasaları Azure portalı aracılığıyla oluşturulup yönetilebilir. Bu hızlı başlangıçta, JavaScript anahtar istemci kitaplığını kullanarak Bir Azure anahtar kasasından anahtar oluşturmayı, almayı ve silmeyi öğreneceksiniz

Key Vault istemci kitaplığı kaynakları:

API başvuru belgeleri | Kitaplık kaynak kodu | Paketi (npm)

Key Vault ve anahtarlar hakkında daha fazla bilgi için bkz:

• Anahtar Kasasına Genel Bakış
• Anahtarlara Genel Bakış.

Önkoşullar

• Azure aboneliği - ücretsiz bir abonelik oluşturun.
• Geçerli Node.js LTS.
• Azure CLI
• Mevcut bir Key Vault - şunu kullanarak bir anahtar oluşturabilirsiniz:
  • Azure CLI
  • Azure portalındaki
  • Azure PowerShell

Bu hızlı başlangıçta Azure CLI çalıştırdığınız varsayılır.

Azure'da oturum açma

1. login komutunu çalıştırın.

   az login
   

   CLI varsayılan tarayıcınızı açabiliyorsa bunu yapar ve bir Azure oturum açma sayfası yükler.

   Aksi takdirde adresinde bir tarayıcı sayfası https://aka.ms/devicelogin açın ve terminalinizde görüntülenen yetkilendirme kodunu girin.

2. Tarayıcıda hesabınızın kimlik bilgileriyle oturum açın.

Yeni Node.js uygulaması oluşturma

Anahtar kasanızı kullanan bir Node.js uygulaması oluşturun.

1. Terminalde adlı key-vault-node-app bir klasör oluşturun ve bu klasöre geçin:

   mkdir key-vault-node-app && cd key-vault-node-app
   

2. Node.js projesini başlatın:

   npm init -y
   

Key Vault paketlerini yükleme

1. Terminali kullanarak Azure Key Vault gizli dizileri istemci kitaplığını Node.js için @azure/keyvault-keys yükleyin.

   npm install @azure/keyvault-keys
   

2. Key Vault'ta kimlik doğrulaması yapmak için Azure Identity istemci kitaplığını @azure/kimlik paketini yükleyin.

   npm install @azure/identity
   

Anahtar kasanıza erişim izni verme

Azure CLI

Rol Tabanlı Erişim Denetimi (RBAC) aracılığıyla uygulamanıza anahtar kasanıza izin vermek için az role assignment create Azure CLI komutunu kullanarak bir rol atayın.

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Azure PowerShell

Rol Tabanlı Erişim Denetimi (RBAC) aracılığıyla uygulamanıza anahtar kasanıza izin vermek için New-AzRoleAssignment Azure PowerShell cmdlet'ini kullanarak bir rol atayın.

New-AzRoleAssignment -ObjectId "<app-id>" -RoleDefinitionName "Key Vault Secrets User" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

App-id>, subscription-id>, <resource-group-name> ve <your-unique-keyvault-name> değerlerini gerçek değerlerinizle değiştirin<<. <app-id> , Azure AD'de kayıtlı uygulamanızın Uygulama (istemci) kimliğidir.

Ortam değişkenlerini belirleme

Bu uygulama anahtar kasası adını adlı KEY_VAULT_NAMEbir ortam değişkeni olarak kullanıyor.

Windows

set KEY_VAULT_NAME=<your-key-vault-name>

PowerShell

Windows PowerShell

$Env:KEY_VAULT_NAME="<your-key-vault-name>"

macOS veya Linux

export KEY_VAULT_NAME=<your-key-vault-name>

Kimlik doğrulaması yapma ve istemci oluşturma

Çoğu Azure hizmeti için uygulama istekleri yetkilendirilmelidir. Azure Identity istemci kitaplığı tarafından sağlanan DefaultAzureCredential yöntemini kullanmak, kodunuzda Azure hizmetlerine parolasız bağlantılar uygulamak için önerilen yaklaşımdır. DefaultAzureCredential birden çok kimlik doğrulama yöntemini destekler ve çalışma zamanında hangi yöntemin kullanılacağını belirler. Bu yaklaşım, uygulamanızın ortama özgü kod uygulamadan farklı ortamlarda (yerel ve üretim) farklı kimlik doğrulama yöntemleri kullanmasını sağlar.

Bu hızlı başlangıçta, DefaultAzureCredential Azure CLI'da oturum açmış yerel geliştirme kullanıcısının kimlik bilgilerini kullanarak anahtar kasasında kimlik doğrulaması yapar. Uygulama Azure'a dağıtıldığında, aynı DefaultAzureCredential kod App Service, Sanal Makine veya diğer hizmetlere atanan yönetilen kimliği otomatik olarak bulabilir ve kullanabilir. Daha fazla bilgi için bkz . Yönetilen Kimliğe Genel Bakış.

Bu kodda, anahtar kasanızın adı biçiminde anahtar kasası URI'sini https://<your-key-vault-name>.vault.azure.netoluşturmak için kullanılır. Anahtar kasasında kimlik doğrulaması hakkında daha fazla bilgi için bkz . Geliştirici Kılavuzu.

Kod örneği

Aşağıdaki kod örnekleri bir istemci oluşturma, gizli dizi ayarlama, gizli dizi alma ve gizli dizi silmeyi gösterir.

Bu kod aşağıdaki Key Vault Gizli Dizi sınıflarını ve yöntemlerini kullanır:

• DefaultAzureCredential sınıfı
• KeyClient sınıfı
  • createKey
  • createEcKey
  • createRsaKey
  • getKey
  • listPropertiesOfKeys
  • updateKeyProperties
  • beginDeleteKey
  • getDeletedKey
  • purgeDeletedKey

Uygulama çerçevesini ayarlama

1. Yeni metin dosyası oluşturun ve aşağıdaki kodu index.js dosyasına yapıştırın.

   const { KeyClient } = require("@azure/keyvault-keys");
   const { DefaultAzureCredential } = require("@azure/identity");
   
   async function main() {
   
       // DefaultAzureCredential expects the following three environment variables:
       // - AZURE_TENANT_ID: The tenant ID in Azure Active Directory
       // - AZURE_CLIENT_ID: The application (client) ID registered in the AAD tenant
       // - AZURE_CLIENT_SECRET: The client secret for the registered application
       const credential = new DefaultAzureCredential();
   
       const keyVaultName = process.env["KEY_VAULT_NAME"];
       if(!keyVaultName) throw new Error("KEY_VAULT_NAME is empty");
       const url = "https://" + keyVaultName + ".vault.azure.net";
   
       const client = new KeyClient(url, credential);
   
       const uniqueString = Date.now();
       const keyName = `sample-key-${uniqueString}`;
       const ecKeyName = `sample-ec-key-${uniqueString}`;
       const rsaKeyName = `sample-rsa-key-${uniqueString}`;
   
       // Create key using the general method
       const result = await client.createKey(keyName, "EC");
       console.log("key: ", result);
   
       // Create key using specialized key creation methods
       const ecResult = await client.createEcKey(ecKeyName, { curve: "P-256" });
       const rsaResult = await client.createRsaKey(rsaKeyName, { keySize: 2048 });
       console.log("Elliptic curve key: ", ecResult);
       console.log("RSA Key: ", rsaResult);
   
       // Get a specific key
       const key = await client.getKey(keyName);
       console.log("key: ", key);
   
       // Or list the keys we have
       for await (const keyProperties of client.listPropertiesOfKeys()) {
       const key = await client.getKey(keyProperties.name);
       console.log("key: ", key);
       }
   
       // Update the key
       const updatedKey = await client.updateKeyProperties(keyName, result.properties.version, {
       enabled: false
       });
       console.log("updated key: ", updatedKey);
   
       // Delete the key - the key is soft-deleted but not yet purged
       const deletePoller = await client.beginDeleteKey(keyName);
       await deletePoller.pollUntilDone();
   
       const deletedKey = await client.getDeletedKey(keyName);
       console.log("deleted key: ", deletedKey);
   
       // Purge the key - the key is permanently deleted
       // This operation could take some time to complete
       console.time("purge a single key");
       await client.purgeDeletedKey(keyName);
       console.timeEnd("purge a single key");
   }
   
   main().catch((error) => {
     console.error("An error occurred:", error);
     process.exit(1);
   });
   

Örnek uygulamayı çalıştırın

1. Uygulamayı çalıştırın:

   node index.js
   

2. Oluşturma ve alma yöntemleri anahtar için tam bir JSON nesnesi döndürür:

   "key":  {
     "key": {
       "kid": "https://YOUR-KEY-VAULT-NAME.vault.azure.net/keys/YOUR-KEY-NAME/YOUR-KEY-VERSION",
       "kty": "YOUR-KEY-TYPE",
       "keyOps": [ ARRAY-OF-VALID-OPERATIONS ],
       ... other properties based on key type
     },
     "id": "https://YOUR-KEY-VAULT-NAME.vault.azure.net/keys/YOUR-KEY-NAME/YOUR-KEY-VERSION",
     "name": "YOUR-KEY-NAME",
     "keyOperations": [ ARRAY-OF-VALID-OPERATIONS ],
     "keyType": "YOUR-KEY-TYPE",
     "properties": {
       "tags": undefined,
       "enabled": true,
       "notBefore": undefined,
       "expiresOn": undefined,
       "createdOn": 2021-11-29T18:29:11.000Z,
       "updatedOn": 2021-11-29T18:29:11.000Z,
       "recoverableDays": 90,
       "recoveryLevel": "Recoverable+Purgeable",
       "exportable": undefined,
       "releasePolicy": undefined,
       "vaultUrl": "https://YOUR-KEY-VAULT-NAME.vault.azure.net",
       "version": "YOUR-KEY-VERSION",
       "name": "YOUR-KEY-VAULT-NAME",
       "managed": undefined,
       "id": "https://YOUR-KEY-VAULT-NAME.vault.azure.net/keys/YOUR-KEY-NAME/YOUR-KEY-VERSION"
     }
   }
   

Uygulama Yapılandırması ile tümleştirme

Azure SDK, verilen Key Vault Anahtar Kimliğini ayrıştırmak için ParseKeyVaultKeyIdentifier adlı bir yardımcı yöntem sağlar. Key Vault'a Uygulama Yapılandırması başvuruları kullanıyorsanız bu gereklidir. Uygulama Yapılandırması, Key Vault Anahtar Kimliğini depolar. Anahtar adını almak için bu kimliği ayrıştırmak için parseKeyVaultKeyIdentifier yöntemine ihtiyacınız vardır. Anahtar adını aldıktan sonra, bu hızlı başlangıçtaki kodu kullanarak geçerli anahtar değerini alabilirsiniz.

Sonraki adımlar

Bu hızlı başlangıçta, bir anahtar kasası oluşturdunuz, bir anahtar depoladunuz ve bu anahtarı aldıysanız. Key Vault ve uygulamalarınızla tümleştirme hakkında daha fazla bilgi edinmek için bu makalelere geçin.

• Azure Key Vault'a Genel Bakış
• Azure Key Vault Anahtarlara Genel Bakış'a göz atın
• Anahtar kasasına erişimin güvenliğini sağlama
• Azure Key Vault geliştirici kılavuzuna bakın
• Key Vault güvenliğine genel bakış'a göz atın