Exercice - Créer un coffre de clés et stocker des secrets

Effectué

Créer des coffres de clés pour vos applications

Une bonne pratique consiste à créer un coffre distinct pour chaque environnement de déploiement de chacune de vos applications, par exemple, pour le développement, les tests et la production. Vous pouvez stocker les secrets pour plusieurs applications et environnements dans un même coffre, mais l’impact d’un attaquant qui obtient l’accès en lecture à un coffre augmente en proportion du nombre de secrets qui y sont stockés.

Conseil

Si vous utilisez les mêmes noms pour plusieurs secrets dans différents environnements pour une application, la seule configuration propre à l’environnement qui doit changer dans votre application est l’URL du coffre.

Aucune configuration initiale n’est nécessaire pour créer un coffre. Votre identité d’utilisateur reçoit automatiquement le jeu complet d’autorisations de gestion des secrets. Vous pouvez commencer immédiatement à ajouter des secrets. Une fois que vous avez un coffre, l’ajout et la gestion de secrets sont possibles à partir de n’importe quelle interface d’administration d’Azure, dont le portail Azure, Azure CLI et Azure PowerShell. Quand vous configurez votre application pour utiliser le coffre, vous devez lui attribuer les autorisations appropriées, comme décrit dans l’unité suivante.

Créer le coffre de clés et y stocker le secret

Compte tenu de tous les problèmes que l’entreprise a rencontrés avec les secrets d’application, la direction vous demande de créer une petite application de base pour mettre les autres développeurs sur la bonne voie. L’application doit montrer les bonnes pratiques à suivre pour gérer les secrets d’une manière aussi simple et sécurisée que possible.

Pour commencer, créez un coffre et stockez-y un secret.

Créer le coffre Key Vault

Les noms de coffres de clés devant être globalement uniques, choisissez un nom unique. Les noms de coffres doivent compter de 3 à 24 caractères alphanumériques ou tirets. Notez le nom du coffre que vous avez choisi parce que vous en aurez besoin tout au long de cet exercice.

Pour créer votre coffre, exécutez la commande suivante dans Azure Cloud Shell. Veillez à entrer votre nom de coffre unique dans le paramètre --name.

az keyvault create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --location centralus \
    --name <your-unique-vault-name>

Une fois l’opération terminée, vous voyez une sortie JSON décrivant le nouveau coffre.

Conseil

La commande a utilisé un groupe de ressources créé au préalable nommé [Groupe de ressources du bac à sable]. Quand vous travaillez avec votre propre abonnement, vous pouvez créer un groupe de ressources ou utiliser un groupe de ressources existant que vous avez créé précédemment.

Ajouter le secret

Ajoutez maintenant le secret. Notre secret s’appelle SecretPassword avec une valeur de reindeer_flotilla. Veillez à remplacer <your-unique-vault-name> par le nom du coffre que vous avez créé dans le paramètre --vault-name.

az keyvault secret set \
    --name SecretPassword \
    --value reindeer_flotilla \
    --vault-name <your-unique-vault-name>

Vous allez bientôt écrire le code pour votre application, mais vous devez d’abord en apprendre un peu plus sur la façon dont votre application va s’authentifier auprès d’un coffre.