Übung: Erstellen eines Key Vault-Tresors und Speichern von Geheimnissen
Erstellen von Key Vault-Instanzen für Ihre Anwendungen
Es empfiehlt sich, für jede Bereitstellungsumgebung (Entwicklung, Test und Produktion) Ihrer verschiedenen Anwendungen einen separaten Tresor bereitzustellen. Sie können zwar einen einzelnen Tresor zum Speichern von Geheimnissen für mehrere Anwendungen und Umgebungen verwenden, allerdings nehmen die Auswirkungen eines Angriffs, bei dem Lesezugriff auf einen Tresor erlangt wurde, mit der Anzahl der Geheimnisse im Tresor zu.
Tipp
Wenn Sie in verschiedenen Umgebungen einer Anwendung dieselben Namen für Geheimnisse verwenden, ist die Tresor-URL die einzige umgebungsspezifische Konfiguration, die in Ihrer Anwendung geändert werden muss.
Das Erstellen eines Tresors erfordert keine anfängliche Konfiguration. Ihrer Benutzeridentität werden automatisch alle Berechtigungen für die Verwaltung von Geheimnissen erteilt. Sie können sofort mit dem Hinzufügen von Geheimnissen beginnen. Sobald Sie einen Tresor besitzen, können Sie Geheimnisse über jede Azure-Verwaltungsschnittstelle hinzufügen und verwalten, einschließlich über das Azure-Portal, die Azure CLI und Azure PowerShell. Wenn Sie Ihre Anwendung für die Verwendung des Tresors einrichten, müssen Sie ihr die ordnungsgemäßen Berechtigungen zuweisen, womit wir uns in der nächsten Lerneinheit beschäftigen.
Erstellen des Schlüsseltresors und Speichern des Geheimnisses darin
Angesichts der ganzen Schwierigkeiten, die das Unternehmen mit Anwendungsgeheimnissen hatte, bittet die Geschäftsleitung Sie, eine kleine Einstiegs-App zu erstellen, um die anderen Entwickler auf den richtigen Weg zu bringen. Die App muss bewährte Methoden veranschaulichen, wie Geheimnisse so einfach und sicher wie möglich verwaltet werden können.
Zunächst erstellen Sie einen Tresor, in dem Sie ein Geheimnis speichern.
Key Vault-Instanz erstellen
Key Vault-Namen müssen global eindeutig sein. Wählen Sie daher einen eindeutigen Namen aus. Tresornamen müssen 3 bis 24 Zeichen lang sein und dürfen nur alphanumerische Zeichen und Bindestriche enthalten. Notieren Sie sich den ausgewählten Tresornamen, weil Sie ihn in dieser gesamten Übung verwenden werden.
Führen Sie den folgenden Befehl in Azure Cloud Shell aus, um Ihren Tresor zu erstellen. Stellen Sie sicher, dass Sie Ihren eindeutigen Tresornamen für den --name
-Parameter eingeben.
az keyvault create \
--resource-group "<rgn>[sandbox resource group name]</rgn>" \
--location centralus \
--name <your-unique-vault-name>
Nach Abschluss des Vorgangs sehen Sie die JSON-Ausgabe mit einer Beschreibung des neuen Tresors.
Tipp
Der Befehl hat die vorab erstellte Ressourcengruppe mit dem Namen
Hinzufügen des Geheimnisses
Fügen Sie jetzt das Geheimnis hinzu. Unser Geheimnis heißt SecretPassword
mit einem Wert von reindeer_flotilla
. Achten Sie darauf, <your-unique-vault-name>
durch den Tresornamen zu ersetzen, den Sie im --vault-name
-Parameter erstellt haben.
az keyvault secret set \
--name SecretPassword \
--value reindeer_flotilla \
--vault-name <your-unique-vault-name>
Sie schreiben in Kürze den Code für Ihre App. Aber zuerst müssen Sie sich damit vertraut machen, wie sich Ihre App bei einem Tresor authentifiziert.