Udostępnij za pośrednictwem

Tworzenie, obracanie i aktualizowanie właściwości klucza w usłudze Azure Key Vault za pomocą języka JavaScript

  • Artykuł

Utwórz klienta KeyClient z odpowiednimi poświadczeniami uwierzytelniania programowego, a następnie użyj klienta, aby ustawić, zaktualizować i obrócić klucz w usłudze Azure Key Vault.

Aby obrócić klucz, należy utworzyć nową wersję klucza i ustawić wersję jako najnowszą. Poprzednia wersja nie została usunięta, ale nie jest już aktywna.

Tworzenie klucza z zasadami rotacji

Aby utworzyć klucz w usłudze Azure Key Vault, użyj metody createKey klasy KeyClient. Ustaw dowolne właściwości za pomocą opcjonalnego obiektu createKeyOptions . Po utworzeniu klucza zaktualizuj klucz przy użyciu zasad rotacji.

Zwracany jest klucz KeyVaultKey . Zaktualizuj klucz przy użyciu metody updateKeyRotationPolicy przy użyciu zasad, które obejmują powiadomienia.

Wygodne metody tworzenia są dostępne dla następujących typów kluczy, które ustawiają właściwości skojarzone z tym typem klucza:

// Azure client libraries
import { DefaultAzureCredential } from '@azure/identity';
import {
  CreateKeyOptions,
  KeyClient,
  KeyRotationPolicyProperties,
  KnownKeyOperations,
  KnownKeyTypes
} from '@azure/keyvault-keys';

// Day/time manipulation
import dayjs from 'dayjs';
import duration from 'dayjs/plugin/duration';
dayjs.extend(duration);

// Authenticate to Azure Key Vault
const credential = new DefaultAzureCredential();
const client = new KeyClient(
    `https://${process.env.AZURE_KEYVAULT_NAME}.vault.azure.net`,
    credential
);

// Name of key
const keyName = `mykey-${Date.now().toString()}`;

// Set key options
const keyOptions: CreateKeyOptions = {
enabled: true,
expiresOn: dayjs().add(1, 'year').toDate(),
exportable: false,
tags: {
    project: 'test-project'
},
keySize: 2048,
keyOps: [
    KnownKeyOperations.Encrypt,
    KnownKeyOperations.Decrypt
    // KnownKeyOperations.Verify,
    // KnownKeyOperations.Sign,
    // KnownKeyOperations.Import,
    // KnownKeyOperations.WrapKey,
    // KnownKeyOperations.UnwrapKey
]
};

// Set key type
const keyType = KnownKeyTypes.RSA; //  'EC', 'EC-HSM', 'RSA', 'RSA-HSM', 'oct', 'oct-HSM'

// Create key
const key = await client.createKey(keyName, keyType, keyOptions);
if (key) {
    // Set rotation policy properties: KeyRotationPolicyProperties
    const rotationPolicyProperties: KeyRotationPolicyProperties = {
        expiresIn: 'P90D',
        lifetimeActions: [
        {
            action: 'Rotate',
            timeAfterCreate: 'P30D'
        },
        {
            action: 'Notify',
            timeBeforeExpiry: dayjs.duration({ days: 7 }).toISOString()
        }
    ]};
    
    // Set rotation policy: KeyRotationPolicy
    const keyRotationPolicy = await client.updateKeyRotationPolicy(
        key.name,
        rotationPolicyProperties
    );
    console.log(keyRotationPolicy);
}

Ręczne obracanie klucza

Jeśli musisz obrócić klucz, użyj metody rotateKey . Spowoduje to utworzenie nowej wersji klucza i ustawienie tej wersji jako aktywnej wersji.

// Azure client libraries
import { DefaultAzureCredential } from '@azure/identity';
import {
  KeyClient
} from '@azure/keyvault-keys';

// Authenticate to Azure Key Vault
const credential = new DefaultAzureCredential();
const client = new KeyClient(
    `https://${process.env.AZURE_KEYVAULT_NAME}.vault.azure.net`,
    credential
);

// Get existing key
let key = await client.getKey(`MyKey`);
console.log(key);

if(key?.name){

    // rotate key
    key = await client.rotateKey(key.name);
    console.log(key);
}

Aktualizowanie właściwości klucza

Zaktualizuj właściwości najnowszej wersji klucza za pomocą właściwości updateKeyProperties lub zaktualizuj określoną wersję klucza za pomocą właściwości updateKeyProperties. Wszystkie właściwości UpdateKeyPropertiesOptions , które nie zostały określone, pozostają niezmienione. Nie powoduje to zmiany wartości klucza.

// Azure client libraries
import { DefaultAzureCredential } from '@azure/identity';
import {
  KeyClient
} from '@azure/keyvault-keys';

// Authenticate to Azure Key Vault
const credential = new DefaultAzureCredential();
const client = new KeyClient(
    `https://${process.env.AZURE_KEYVAULT_NAME}.vault.azure.net`,
    credential
);

// Get existing key
const key = await client.getKey('MyKey');

if (key) {

    // 
    const updateKeyPropertiesOptions = {
        enabled: false,
        // expiresOn,
        // keyOps,
        // notBefore, 
        // releasePolicy, 
        tags: { 
            ...key.properties.tags, subproject: 'Health and wellness' 
        }
    }
    
    // update properties of latest version
    await client.updateKeyProperties(
        key.name,
        updateKeyPropertiesOptions
    );
    
    // update properties of specific version
    await client.updateKeyProperties(
        key.name,
        key?.properties?.version,
        {
            enabled: true
        }
    );
}

Aktualizowanie wartości klucza

Aby zaktualizować wartość klucza, użyj metody rotateKey . Pamiętaj, aby przekazać nową wartość ze wszystkimi właściwościami, które chcesz zachować z bieżącej wersji klucza. Wszystkie bieżące właściwości, które nie są ustawione w dodatkowych wywołaniach funkcji rotateKey, zostaną utracone.

Spowoduje to wygenerowanie nowej wersji klucza. Zwrócony obiekt KeyVaultKey zawiera nowy identyfikator wersji.

Następne kroki