快速入門：使用 Azure CLI 從 Azure Key Vault 設定及擷取祕密

發行項
08/08/2024

在本快速入門中，您會在 Azure Key Vault 中使用 Azure CLI 建立金鑰保存庫。 Azure Key Vault 是一項雲端服務，可作為安全的祕密存放區。您也可以安全地儲存金鑰、密碼、憑證和其他祕密。如需 Key Vault 的詳細資訊，您可以檢閱概觀。 Azure CLI 可供使用命令列或指令碼來建立和管理 Azure 資源。一旦完成該作業，您就會儲存祕密。

如果您沒有 Azure 訂閱，請在開始之前，先建立 Azure 免費帳戶。

必要條件

在 Azure Cloud Shell 中使用 Bash 環境。如需詳細資訊，請參閱 Azure Cloud Shell 中的 Bash 快速入門。
若要在本地執行 CLI 參考命令，請安裝 Azure CLI。若您在 Windows 或 macOS 上執行，請考慮在 Docker 容器中執行 Azure CLI。如需詳細資訊，請參閱〈如何在 Docker 容器中執行 Azure CLI〉。
- 如果您使用的是本機安裝，請使用 az login 命令，透過 Azure CLI 來登入。請遵循您終端機上顯示的步驟，完成驗證程序。如需其他登入選項，請參閱使用 Azure CLI 登入。
- 出現提示時，請在第一次使用時安裝 Azure CLI 延伸模組。如需擴充功能詳細資訊，請參閱使用 Azure CLI 擴充功能。
- 執行 az version 以尋找已安裝的版本和相依程式庫。若要升級至最新版本，請執行 az upgrade。

本快速入門需要 2.0.4 版或更新版本的 Azure CLI。如果您是使用 Azure Cloud Shell，就已安裝最新版本。

建立資源群組

資源群組是在其中部署與管理 Azure 資源的邏輯容器。使用 az group create 命令，在 eastus 位置中建立名為 myResourceGroup 的資源群組。

az group create --name "myResourceGroup" --location "EastUS"

建立金鑰保存庫

使用 Azure CLI az keyvault create 命令，在上一個步驟的資源群組中建立 Key Vault。您必須提供一些資訊：

金鑰保存庫名稱：由 3 到 24 個字元組成的字串，只能包含數字 (0-9)、字母 (a-z、A-Z) 和連字號 (-)

重要

每個金鑰保存庫必須有唯一的名稱。在下列範例中，將 <your-unique-keyvault-name> 取代為您的金鑰保存庫名稱。
資源群組名稱：myResourceGroup。
位置：EastUS。

az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup"

此命令的輸出顯示新建立金鑰保存庫的屬性。記下這兩個屬性：

保存庫名稱：您為 --name 參數提供的名稱。
保存庫 URI：在此範例中，保存庫 URI 為 https://<your-unique-keyvault-name>.vault.azure.net/。透過其 REST API 使用保存庫的應用程式必須使用此 URI。

授與使用者帳戶在 Key Vault 中管理密碼的權限

若要透過角色型存取控制 (RBAC) 取得金鑰保存庫的權限，請使用 Azure CLI 命令 az role assignment create 將角色指派給「使用者主體名稱」(UPN)。

az role assignment create --role "Key Vault Secrets Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

以實際值取代 <upn>、<subscription-id>、<resource-group-name> 和 <your-unique-keyvault-name>。您 UPN 的格式通會是電子郵件地址 (例如，username@domain.com)。

將祕密新增至 Key Vault

若要將祕密新增至保存庫，只需要進行幾個額外步驟。應用程式可以使用此密碼。密碼會被稱為 ExamplePassword，並儲存 hVFkk965BuUv 的值。

使用下方的 Azure CLI az keyvault secret set 命令，在稱為 ExamplePassword 的 Key Vault 中建立秘密，儲存的值為 hVFkk965BuUv：

az keyvault secret set --vault-name "<your-unique-keyvault-name>" --name "ExamplePassword" --value "hVFkk965BuUv"

從 Key Vault 擷取祕密

透過使用其 URI，您現在可以參照您新增至 Azure Key Vault 的密碼。使用 https://<your-unique-keyvault-name>.vault.azure.net/secrets/ExamplePassword 來取得最新版本。

若要以純文字檢視秘密中包含的值，請使用 Azure CLI az keyvault secret show 命令：

az keyvault secret show --name "ExamplePassword" --vault-name "<your-unique-keyvault-name>" --query "value"

現在，您已建立 Key Vault，儲存祕密，並擷取它。

清除資源

此集合中的其他快速入門和教學課程會以本快速入門為基礎。如果您打算繼續進行後續的快速入門和教學課程，您可以讓這些資源留在原處。

若不再需要，您可以使用 Azure CLI az group delete 命令來移除資源群組和所有相關資源：

az group delete --name "myResourceGroup"

下一步

在本快速入門中，您已建立 Key Vault 並在其中儲存祕密。若要深入了解 Key Vault 以及要如何將其與應用程式整合，請繼續閱讀下列文章。

共用方式為