次の方法で共有

クイック スタート:Azure PowerShell を使用して Azure Key Vault との間でキーの設定と取得を行う

  • [アーティクル]

このクイックスタートでは、Azure PowerShell を使用して Azure Key Vault にキー コンテナーを作成します。 Azure Key Vault は、セキュリティで保護されたシークレット ストアとして機能するクラウド サービスです。 キー、パスワード、証明書、およびその他のシークレットを安全に保管することができます。 Key Vault の詳細については、概要に関する記事をご覧ください。 Azure PowerShell は、コマンドまたはスクリプトを使用して Azure リソースを作成および管理するために使用します。 この作業を完了したら、キーを格納します。

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に無料アカウントを作成してください。

リソース グループを作成する

リソース グループとは、Azure リソースのデプロイと管理に使用する論理コンテナーです。 Azure PowerShell の New-AzResourceGroup コマンドレットを使用して、myResourceGroup という名前のリソース グループを eastus に作成します。

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Key Vault を作成します

Azure PowerShell New-AzKeyVault コマンドレットを使用して、前の手順で作成したリソース グループにキー コンテナーを作成します。 いくつかの情報を指定する必要があります。

  • キー コンテナー名:数字 (0-9)、文字 (a-z、A-Z)、ハイフン (-) のみを含んだ 3 から 24 文字の文字列

    重要

    各キー コンテナーには一意の名前が必要です。 次の例では、<your-unique-keyvault-name> をお使いのキー コンテナーの名前に置き換えてください。

  • リソース グループ名: myResourceGroup

  • 場所: EastUS

New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"

このコマンドレットの出力では、新しく作成したキー コンテナーのプロパティが示されます。 これらの 2 つのプロパティをメモします。

  • コンテナー名: -Name パラメーターに指定した名前です。
  • コンテナー URI: この例では、この URI は https://<your-unique-keyvault-name>.vault.azure.net/ です。 その REST API から資格情報コンテナーを使用するアプリケーションは、この URI を使用する必要があります。

この時点で、自分の Azure アカウントが唯一、この新しいコンテナーで任意の操作を実行することを許可されています。

Key Vault でキーを管理するためのアクセス許可を自分のユーザー アカウントに付与する

ロールベースのアクセス制御 (RBAC) を通してキー コンテナーに対するアクセス許可を取得するには、Azure PowerShell コマンドレット New-AzRoleAssignment を使用してユーザー プリンシパル名 (UPN) にロールを割り当てます。

New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Crypto Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

<upn>、<subscription-id>、<resource-group-name>、<your-unique-keyvault-name> は実際の値に置き換えます。 UPN は一般的に、メール アドレスの形式を取ります (例: username@domain.com)。

Key Vault にキーを追加する

キーをコンテナーに追加するには、いくつかの追加の手順を実行する必要があります。 このキーは、アプリケーションによって使用される可能性があります。

このコマンドを入力して、ExampleKey というキーを作成します。

Add-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -Name "ExampleKey" -Destination "Software"

これで、Azure Key Vault に追加したキーは、その URI を使用すると参照できます。 https://<your-unique-keyvault-name>.vault.azure.net/keys/ExampleKey を使用して、現在のバージョンを取得します。

以前に格納したキーを表示するには:

Get-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -KeyName "ExampleKey"

これで、キー コンテナーを作成し、キーを格納した後、取得しました。

リソースをクリーンアップする

このコレクションの他のクイックスタートとチュートリアルは、このクイックスタートに基づいています。 他のクイック スタートおよびチュートリアルを引き続き実行する場合は、これらのリソースをそのまま残しておくことをお勧めします。

必要がなくなったら、Azure PowerShell の Remove-AzResourceGroup コマンドレットを使用して、リソース グループとすべての関連リソースを削除できます。

Remove-AzResourceGroup -Name "myResourceGroup"

次のステップ

このクイックスタートでは、キー コンテナーを作成して証明書を格納しました。 Key Vault およびアプリケーションとの統合方法の詳細については、引き続き以下の記事を参照してください。