Resumen

Completado

En este módulo, ha protegido la configuración del secreto de una aplicación en Azure Key Vault. El código de la aplicación se autentica en el almacén con una identidad administrada y carga automáticamente los secretos del almacén en memoria al inicio.

Limpieza

El espacio aislado limpia los recursos automáticamente cuando haya terminado con este módulo.

Al trabajar en una suscripción propia, se recomienda identificar al final de un proyecto si aún necesita los recursos creados. Los recursos que dejas en ejecución pueden costar dinero. Puede eliminar los recursos de forma individual o eliminar el grupo de recursos para eliminar todo el conjunto de recursos.

Para limpiar el almacenamiento de Cloud Shell, elimine el directorio KeyVaultDemoApp.

Pasos siguientes

Si se tratase de una aplicación real, ¿qué vendría a continuación?

• Colocar todos los secretos de aplicación en los almacenes. Ya no hay ninguna razón para tenerlos en archivos de configuración.
• Seguir desarrollando la aplicación. El entorno de producción está completamente configurado, por lo que no tendrá que repetir la instalación en las implementaciones futuras.
• Para admitir el desarrollo, cree un almacén de entorno de desarrollo que contenga secretos con los mismos nombres pero distintos valores. Conceda permisos al equipo de desarrollo y configure el nombre del almacén en el archivo de configuración del entorno de desarrollo de la aplicación. La configuración depende de la implementación: en ASP.NET Core, AddAzureKeyVault detectará automáticamente las instalaciones locales de Visual Studio y la CLI de Azure, y usará las credenciales de Azure configuradas en esas aplicaciones para iniciar sesión en el almacén y acceder a él. En Node.js, puede crear una entidad de servicio de entorno de desarrollo con permisos en el almacén y hacer que la aplicación se autentique mediante loginWithServicePrincipalSecret.
• Cree más entornos con fines tales como pruebas de aceptación de usuario.
• Reparta los almacenes entre distintas suscripciones y grupos de recursos para aislarlos.
• Conceda acceso a otros almacenes de entorno a las personas adecuadas.

Lecturas adicionales

• Documentación de Key Vault
• Más información sobre AddAzureKeyVault y sus opciones avanzadas
• Este tutorial explica cómo usar una SecretClient de Key Vault, incluida su autenticación manual en Microsoft Entra ID con un secreto de cliente en lugar de usar una identidad administrada.
• Identidades administradas para la documentación del servicio de tokens de recursos de Azure, para implementar el flujo de trabajo de autenticación personalmente.

Comprobar los conocimientos

1.

¿Cuál de las siguientes afirmaciones no es una de las ventajas de Azure Key Vault?

Almacenamiento seguro de información privada de usuario.

Sincronización de secretos de aplicación entre varias instancias de una aplicación.

Se evita en parte que los desarrolladores de aplicaciones tengan que controlar directamente los secretos de aplicación.

Control del acceso a los secretos de aplicación con permisos asignables.

2.

¿Cuál de estas afirmaciones describe mejor el proceso de autorización y autenticación de Azure Key Vault?

Las aplicaciones se autentican en un almacén con el nombre de usuario y la contraseña del jefe de desarrollo, y tienen acceso total a todos los secretos del almacén.

Las aplicaciones y los usuarios se autentican en un almacén con una cuenta Microsoft y se les autoriza a acceder a secretos específicos.

Las aplicaciones y los usuarios se autentican en un almacén con sus identidades de Microsoft Entra y se les autoriza a realizar acciones en todos los secretos del almacén.

Las aplicaciones se autentican en un almacén con el nombre de usuario y la contraseña de un usuario que inicia sesión en la aplicación web, y se les concede acceso a los secretos que pertenecen a ese usuario.

3.

¿Cómo ayuda Azure Key Vault a proteger los secretos después de que la aplicación los haya cargado?

Azure Key Vault genera automáticamente un secreto nuevo después de cada uso.

La biblioteca cliente de Azure Key Vault protege las regiones de memoria que la aplicación utiliza para evitar una exposición accidental de los secretos.

Azure Key Vault efectúa un cifrado doble de los secretos y solicita a la aplicación que los descifre de forma local cada vez que se utilizan.

No protege los secretos. Los secretos quedan desprotegidos una vez que la aplicación los ha cargado.

Debe responder todas las preguntas antes de comprobar su trabajo.