Szybki start: ustawianie i pobieranie klucza z usługi Azure Key Vault przy użyciu interfejsu wiersza polecenia platformy Azure
W tym przewodniku Szybki start utworzysz magazyn kluczy w usłudze Azure Key Vault przy użyciu interfejsu wiersza polecenia platformy Azure. Azure Key Vault to usługa w chmurze, która działa jako bezpieczny magazyn wpisów tajnych. Możesz bezpiecznie przechowywać klucze, hasła, certyfikaty oraz inne wpisy tajne. Aby uzyskać więcej informacji na temat usługi Key Vault, możesz zapoznać się z omówieniem. Interfejs wiersza polecenia platformy Azure służy do tworzenia zasobów platformy Azure i zarządzanie nimi za pomocą poleceń lub skryptów. Po wykonaniu tych czynności będziesz przechowywać klucz.
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto platformy Azure.
Wymagania wstępne
Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.
Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.
Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.
Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.
- Ten przewodnik Szybki start wymaga wersji 2.0.4 lub nowszej interfejsu wiersza polecenia platformy Azure. W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.
Tworzenie grupy zasobów
Grupa zasobów to logiczny kontener przeznaczony do wdrażania zasobów platformy Azure i zarządzania nimi. Użyj polecenia az group create, aby utworzyć grupę zasobów o nazwie myResourceGroup w lokalizacji eastus.
az group create --name "myResourceGroup" --location "EastUS"
Tworzenie magazynu kluczy
Użyj polecenia az keyvault create interfejsu wiersza polecenia platformy Azure, aby utworzyć usługę Key Vault w grupie zasobów z poprzedniego kroku. Konieczne będzie podanie pewnych informacji:
Nazwa magazynu kluczy: ciąg zawierający od 3 do 24 znaków, który może zawierać tylko cyfry (0–9), litery (a-z, A-Z) i łączniki (-)
Ważne
Każdy magazyn kluczy musi mieć unikatową nazwę. Zastąp <ciąg your-unique-keyvault-name> nazwą magazynu kluczy w poniższych przykładach.
Nazwa grupy zasobów: myResourceGroup.
Lokalizacja: EastUS.
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup"
Dane wyjściowe tego polecenia pokazują właściwości nowo utworzonego magazynu kluczy. Zanotuj te dwie właściwości:
- Nazwa magazynu: nazwa podana do parametru
--name. - Identyfikator URI magazynu: w tym przykładzie identyfikator URI magazynu to https://< nazwa-unikatowa-keyvault-name.vault.azure.net/>. Aplikacje korzystające z magazynu za pomocą jego interfejsu API REST muszą używać tego identyfikatora URI.
Nadawanie kontu użytkownika uprawnień do zarządzania kluczami w usłudze Key Vault
Aby uzyskać uprawnienia do magazynu kluczy za pomocą kontroli dostępu opartej na rolach (RBAC), przypisz rolę do głównej nazwy użytkownika (UPN) przy użyciu polecenia az role assignment create interfejsu wiersza polecenia platformy Azure.
az role assignment create --role "Key Vault Crypto Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Zastąp <wartości upn>, <subscription-id>, <resource-group-name> i <your-unique-keyvault-name> rzeczywistymi wartościami. Nazwa UPN będzie zwykle mieć format adresu e-mail (np. username@domain.com).
Dodawanie klucza do usługi Key Vault
Aby dodać klucz do magazynu, wystarczy wykonać kilka dodatkowych kroków. Ten klucz może być używany przez aplikację.
Wpisz to polecenie, aby utworzyć klucz o nazwie ExampleKey :
az keyvault key create --vault-name "<your-unique-keyvault-name>" -n ExampleKey --protection software
Teraz możesz odwołać się do tego klucza dodanego do usługi Azure Key Vault przy użyciu jego identyfikatora URI. Użyj polecenia https://<your-unique-keyvault-name>.vault.azure.net/keys/ExampleKey, aby pobrać bieżącą wersję.
Aby wyświetlić wcześniej przechowywany klucz:
az keyvault key show --name "ExampleKey" --vault-name "<your-unique-keyvault-name>"
Teraz utworzono usługę Key Vault, zapisano klucz i pobrano go.
Czyszczenie zasobów
Inne przewodniki szybkiego startu i samouczki w tej kolekcji bazują na tym przewodniku. Jeśli planujesz korzystać z kolejnych przewodników Szybki start i samouczków, pozostaw te zasoby na swoim miejscu.
Gdy grupa zasobów i wszystkie powiązane zasoby nie będą już potrzebne, możesz użyć polecenia az group delete interfejsu wiersza polecenia platformy Azure:
az group delete --name "myResourceGroup"
Następne kroki
W tym przewodniku Szybki start utworzono usługę Key Vault i zapisano w niej klucz. Aby dowiedzieć się więcej o usłudze Key Vault i sposobie jej integracji z aplikacjami, przejdź do tych artykułów.
- Przeczytaj omówienie usługi Azure Key Vault
- Zapoznaj się z dokumentacją poleceń az keyvault interfejsu wiersza polecenia platformy Azure
- Przegląd zabezpieczeń usługi Key Vault