Ejercicio: crear un almacén de Key Vault y almacenar secretos

Completado

Crear almacenes de claves para nuestras aplicaciones

Un procedimiento recomendado consiste en crear un almacén independiente por cada entorno de implementación de cada una de las aplicaciones (como desarrollo, prueba y producción). Puede usar un único almacén con el fin de almacenar secretos para varias aplicaciones y entornos, pero el impacto de que un atacante obtenga acceso de lectura a un almacén aumenta con el número de secretos del almacén.

Sugerencia

Si usa los mismos nombres con los secretos de distintos entornos para una aplicación, la única configuración específica del entorno que tiene que cambiar en la aplicación es la dirección URL del almacén.

La creación de un almacén no requiere ninguna configuración inicial. La identidad del usuario se concede automáticamente al conjunto completo de permisos de administración de secretos. Puede empezar a agregar secretos inmediatamente. Una vez que tengamos el almacén, se pueden agregar y administrar secretos desde cualquier interfaz administrativa de Azure, como Azure Portal, la CLI de Azure y Azure PowerShell. Al configurar la aplicación para que use el almacén, debe asignarle los permisos correctos, como se describe en la unidad siguiente.

Crear el almacén de claves y almacenar el secreto en él

Dadas todas las dificultades que ha experimentado la empresa con los secretos de aplicación, la dirección le pide que cree una pequeña aplicación de inicio para mostrar a los demás desarrolladores el camino adecuado. La aplicación debe demostrar procedimientos recomendados para administrar los secretos de la manera más simple y segura posible.

Para empezar, cree un almacén y almacenará en él un secreto.

Creación del almacén de claves

Los nombres de Key Vault deben ser únicos globalmente, por lo que debe elegir un nombre único. Los nombres de almacén deben tener entre 3 y 24 caracteres, y contener solo caracteres alfanuméricos y guiones. Anote el nombre del almacén que elija, ya que lo necesita en este ejercicio.

Para crear el almacén, ejecute el siguiente comando en Azure Cloud Shell. Asegúrese de escribir un nombre único para el almacén en el parámetro --name.

az keyvault create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --location centralus \
    --name <your-unique-vault-name>

Cuando termine, verá la salida JSON que describe el nuevo almacén.

Sugerencia

El comando usó el grupo de recursos creado previamente denominado [nombre del grupo de recursos del espacio aislado]. Al trabajar con su propia suscripción, debe crear un grupo de recursos o usar uno existente que haya creado previamente.

Incorporación del secreto

Ahora, agregue el secreto. Nuestro secreto se denomina SecretPassword con un valor de reindeer_flotilla. Asegúrese de reemplazar <your-unique-vault-name> por el nombre del almacén que creó en el parámetro --vault-name.

az keyvault secret set \
    --name SecretPassword \
    --value reindeer_flotilla \
    --vault-name <your-unique-vault-name>

Pronto escribirá el código de la aplicación, pero primero debe saber un poco sobre cómo esta se va a autenticar en un almacén.