Azure 機密總帳是一項雲端服務,可為必須保持完整的敏感性資料日誌和記錄提供高度完整性的存放區。 在本快速入門中,您會使用 Azure PowerShell 來建立機密分類帳、檢視和更新其屬性,以及刪除它。 如需 Azure 機密總帳的詳細資訊,以及機密總帳中可以儲存的內容的範例,請參閱關於 Microsoft Azure 機密總帳。
如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶。
Azure Cloud Shell
Azure Cloud Shell 是由 Azure 提供的互動式命令行環境,可在瀏覽器中使用。 您可以使用 Bash 或 PowerShell 搭配 Cloud Shell 來處理 Azure 服務。 您可以使用 Cloud Shell 預先安裝的命令,執行本文提到的程式碼,而不必在本機環境上安裝任何工具。
若要啟動 Azure Cloud Shell:
| Option | 範例/連結 |
|---|---|
| 選取程式碼或命令區塊右上角的 [試試看]。 選取 [試試看] 並不會自動將程式碼或命令複製到 Cloud Shell 中。 |
|
| 請前往 https://shell.azure.com,或選取 [啟動 Cloud Shell] 按鈕,在瀏覽器中開啟 Cloud Shell。 |
|
| 選取 Azure 入口網站右上方功能表列上的 [Cloud Shell] 按鈕。 |
|
若要使用 Azure Cloud Shell:
啟動 Cloud Shell。
選取程式碼區塊 (或命令區塊) 上的 [複製] 按鈕以複製程式碼或命令。
透過在 Windows 和 Linux 上選取 Ctrl+Shift+V;或在 macOS 上選取 Cmd+Shift+V,將程式碼或命令貼到 Cloud Shell 工作階段中。
選取 Enter 以執行程式碼或命令。
在本快速入門中,您會使用 Azure PowerShell 建立機密分類帳。 如果您選擇在本機安裝和使用 PowerShell,本教學課程需要 Azure PowerShell 模組 1.0.0 版或更新版本。 輸入 $PSVersionTable.PSVersion 尋找版本。 如果您需要升級,請參閱安裝 Azure PowerShell 模組。 如果正在本機執行 PowerShell,也需要執行 Login-AzAccount,以建立與 Azure 的連線。
先決條件
- 訂用帳戶擁有者 - 只有具備 Azure 訂用帳戶「擁有者」權限的使用者,才能建立機密總帳。 先確認您有適當的存取權,再繼續進行本快速入門。
建立資源群組
資源群組是部署和管理 Azure 資源的邏輯容器。 使用 Azure PowerShell New-AzResourceGroup Cmdlet 在 eastus 位置建立名為 myResourceGroup 的資源群組。
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
取得您的主體識別碼和租用戶識別碼
若要建立機密分類帳,請使用您的 Microsoft Entra 主體識別碼 (也稱為物件識別碼)。 若要取得您的主要 ID,請使用 Azure PowerShell Get-AzADUser cmdlet,並使用旗標 -SignedIn:
Get-AzADUser -SignedIn
您的結果會列在「Id」下,格式 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx為 。
建立機密總帳
使用 Azure PowerShell New-AzConfidentialLedger 命令,在新的資源群組中建立機密總帳。
New-AzConfidentialLedger -Name "myLedger" -ResourceGroupName "myResourceGroup" -Location "EastUS" -LedgerType "Public" -AadBasedSecurityPrincipal @{ LedgerRoleName="Administrator"; PrincipalId="aaaaaaaa-bbbb-cccc-1111-222222222222"; }
成功的作業會傳回新建立的總帳的屬性。 記下 ledgerUri。 在上述範例中,此 URI 是 “https://myledger.confidential-ledger.azure.com".
您需要此 URI 才能與資料平面中的機密總帳進行交易。
檢視和更新您的機密總帳屬性
您可以使用 Azure PowerShell Get-AzConfidentialLedger Cmdlet 來檢視與新建立的機密分類帳相關聯的屬性。
Get-AzConfidentialLedger -Name "myLedger" -ResourceGroupName "myResourceGroup"
若要更新機密總帳的屬性,請使用 Azure PowerShell Update-AzConfidentialLedger Cmdlet。 例如,若要更新總帳,將角色變更為「讀者」,請執行:
Update-AzConfidentialLedger -Name "myLedger" -ResourceGroupName "myResourceGroup" -Location "EastUS" -LedgerType "Public" -AadBasedSecurityPrincipal @{ LedgerRoleName="Reader"; PrincipalId="aaaaaaaa-bbbb-cccc-1111-222222222222"; }
如果您再次執行 Get-AzConfidentialLedger,您會看到角色已更新。
"ledgerRoleName": "Reader",
清理資源
此集合中的其他快速入門和教學課程會以本快速入門為基礎。 如果您打算繼續使用其他快速入門和教學課程,您可能想要保留這些資源。
不再需要時,您可以使用 Azure PowerShell Remove-AzResourceGroup Cmdlet 來移除資源群組和所有相關資源。
Remove-AzResourceGroup -Name "myResourceGroup"
後續步驟
在本快速入門中,您已使用 Azure PowerShell 建立機密分類帳。 若要深入了解 Azure 機密總帳及如何與應用程式整合,請繼續閱讀下列文章。