Cvičení – vytvoření služby Key Vault a uložení tajných kódů

Dokončeno

Vytváření trezorů klíčů pro vaše aplikace

Osvědčeným postupem je vytvořit samostatný trezor pro každé prostředí nasazení jednotlivých aplikací, jako je vývoj, testování a produkční prostředí. K ukládání tajných kódů pro více aplikací a prostředí můžete používat jeden trezor, ale s rostoucím počtem kódů v trezoru se zhorší důsledky napadení útočníkem a získání přístupu ke čtení.

Tip

Pokud pro aplikace používáte stejné názvy tajných kódů v různých prostředích, jedinou konfigurací specifickou pro prostředí, kterou musíte změnit ve své aplikaci, je adresa URL trezoru.

Vytvoření trezoru nevyžaduje žádnou počáteční konfiguraci. Identitě uživatele se automaticky udělí úplná sada oprávnění pro správu tajných kódů. Tajné kódy můžete začít přidávat okamžitě. Jakmile budete mít trezor, můžete přidat a spravovat tajné kódy z libovolného rozhraní pro správu Azure, včetně webu Azure Portal, Azure CLI a Azure PowerShellu. Když nastavíte aplikaci tak, aby používala trezor, musíte mu přiřadit správná oprávnění, jak je popsáno v další lekci.

Vytvoření trezoru klíčů a uložení tajného kódu do trezoru klíčů

Vzhledem ke všem problémům, které má společnost s tajnými kódy aplikací. Správa vás požádá, abyste vytvořili malou úvodní aplikaci, která nastaví ostatní vývojáře na správné cestě. Aplikace má využívat osvědčené postupy správy tajných kódů tím nejjednodušším a nejbezpečnějším způsobem.

Začněte tím, že vytvoříte trezor a uložíte do něj jeden tajný kód.

Vytvoření služby Key Vault

Názvy služby Key Vault musí být globálně jedinečné, proto vyberte jedinečný název. Názvy trezorů můžou mít 3–24 znaků a smí obsahovat jenom písmena, číslice a pomlčky. Poznamenejte si název trezoru, který zvolíte, protože ho budete potřebovat v průběhu tohoto cvičení.

Pokud chcete vytvořit trezor, spusťte v Azure Cloud Shellu následující příkaz. Nezapomeňte do parametru zadat jedinečný název trezoru --name .

az keyvault create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --location centralus \
    --name <your-unique-vault-name>

Po dokončení se zobrazí výstup JSON popisující nový trezor.

Tip

Příkaz použil předem vytvořenou skupinu prostředků pojmenovanou [Skupina prostředků v sandboxu]. Při práci s vlastním předplatným byste chtěli buď vytvořit novou skupinu prostředků, nebo použít existující skupinu prostředků, kterou jste vytvořili dříve.

Přidání tajného kódu

Teď přidejte tajný kód. Náš tajný klíč má název SecretPassword s hodnotou reindeer_flotilla. Nezapomeňte nahradit <your-unique-vault-name> názvem trezoru, který jste vytvořili v parametru --vault-name .

az keyvault secret set \
    --name SecretPassword \
    --value reindeer_flotilla \
    --vault-name <your-unique-vault-name>

Než napíšete kód pro aplikaci, musíte se nejprve dozvědět něco o tom, jak se aplikace bude ověřovat v trezoru.