Oefening: Een sleutelkluis maken en geheimen opslaan

Voltooid

Key Vaults maken voor uw toepassingen

Een best practice is het maken van een afzonderlijke kluis voor elke implementatieomgeving van elk van uw toepassingen, zoals ontwikkeling, test en productie. U kunt één kluis gebruiken voor het opslaan van geheimen van meerdere apps en omgevingen, maar de impact van een aanvaller die leestoegang tot een kluis krijgt neemt toe met het aantal geheimen dat zich in de kluis bevindt.

Tip

Als u dezelfde namen gebruikt voor geheimen in verschillende omgevingen voor een toepassing, is de kluis-URL de enige omgevingsspecifieke configuratie die u in uw app moet wijzigen.

Voor het maken van een kluis is geen initiële configuratie vereist. Aan uw gebruikersidentiteit wordt automatisch de volledige set geheime beheermachtigingen verleend. U kunt direct beginnen met het toevoegen van geheimen. Nadat u een kluis hebt, kunt u geheimen toevoegen en beheren vanuit elke Azure-beheerinterface, waaronder Azure Portal, De Azure CLI en Azure PowerShell. Wanneer u uw toepassing instelt voor het gebruik van de kluis, moet u de juiste machtigingen hieraan toewijzen, zoals beschreven in de volgende les.

De sleutelkluis maken en het geheim erin opslaan

Gezien alle problemen die het bedrijf heeft gehad met toepassingsgeheimen. Beheer vraagt u om een kleine starter-app te maken om de andere ontwikkelaars op het juiste pad in te stellen. De app moet de aanbevolen procedures voor het beheren van geheimen zo eenvoudig en veilig mogelijk laten zien.

Als u wilt beginnen, maakt u een kluis en slaat u er één geheim in op.

De sleutelkluis maken

Key Vault-namen moeten globaal uniek zijn, dus kies een unieke naam. Kluisnamen moeten 3 tot 24 tekens lang zijn en alleen alfanumerieke tekens en streepjes bevatten. Noteer de kluisnaam die u kiest, omdat u deze in deze oefening nodig hebt.

Voer de volgende opdracht uit in Azure Cloud Shell om uw kluis te maken. Zorg ervoor dat u de unieke kluisnaam opgeeft aan de --name parameter.

az keyvault create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --location centralus \
    --name <your-unique-vault-name>

Wanneer deze is voltooid, ziet u de JSON-uitvoer waarin de nieuwe kluis wordt beschreven.

Tip

In de opdracht is gebruikgemaakt van de vooraf gemaakte resourcegroep [naam van sandbox-resourcegroep]. Wanneer u met uw eigen abonnement werkt, wilt u een nieuwe resourcegroep maken of een bestaande resourcegroep gebruiken die u eerder hebt gemaakt.

Het geheim toevoegen

Voeg nu het geheim toe. Ons geheim heet SecretPassword met een waarde van reindeer_flotilla. Zorg ervoor dat u de kluisnaam vervangt <your-unique-vault-name> die u in de --vault-name parameter hebt gemaakt.

az keyvault secret set \
    --name SecretPassword \
    --value reindeer_flotilla \
    --vault-name <your-unique-vault-name>

Voordat u de code voor uw app schrijft, moet u eerst wat leren over hoe uw app wordt geverifieerd bij een kluis.