Início Rápido: conecte-se aos serviços do Azure e armazene segredos no Azure Key Vault
O Azure Key Vault é um serviço de nuvem que funciona como um repositório seguro de segredos. Você pode armazenar chaves, senhas, certificados e outros segredos com segurança. Ao criar uma conexão de serviço, você pode armazenar com segurança chaves de acesso e segredos no Key Vault conectado. Neste tutorial, você concluirá as tarefas a seguir usando o portal do Azure. Ambos os métodos são explicados nos procedimentos a seguir.
- Criar uma conexão de serviço com o Azure Key Vault no Serviço de Aplicativo do Azure
- Criar uma conexão de serviço com o Armazenamento de Blobs do Azure e armazenar segredos no Key Vault
- Exibir segredos no Key Vault
Pré-requisitos
Para criar uma conexão de serviço e armazenar segredos no Key Vault com o Conector de Serviço, você precisa:
- Conhecimento básico sobre como usar o Conector de Serviço
- Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.
- Um aplicativo hospedado no Serviço de Aplicativo. Se você ainda não tiver um, crie e implante um aplicativo no Serviço de Aplicativo
- Um Azure Key Vault. Caso não tenha um, crie um Azure Key Vault
- Outra instância de serviço de destino com suporte no Conector de Serviço. Neste tutorial, você usará o Armazenamento de Blobs do Azure
- Acesso de leitura e gravação ao Serviço de Aplicativo, Key Vault e ao serviço de destino.
Criar uma conexão do Key Vault no Serviço de Aplicativo
Para armazenar suas chaves de acesso à conexão e segredos em um cofre de chaves, comece conectando seu Serviço de Aplicativo a um cofre de chaves.
No portal do Azure, digite Serviço de Aplicativo no menu de pesquisa e selecione na lista o nome do Serviço de Aplicativo que você quer usar.
Selecione Conector de Serviço na tabela de conteúdo à esquerda. Em seguida, selecione Criar.
Selecione ou insira as configurações a seguir.
Configuração Valor sugerido Descrição Tipo de serviço Key Vault Tipo do serviço de destino. Se ainda não tiver um Key Vault, crie um. Assinatura Uma das suas assinaturas. A assinatura na qual o serviço de destino está implantado. O serviço de destino é o serviço ao qual você deseja se conectar. O valor padrão é a assinatura listada para esse Serviço de Aplicativo. Nome da conexão Nome exclusivo gerado O nome da conexão que identifica a conexão entre o Serviço de Aplicativo e o serviço de destino Nome do cofre de chaves Nome do seu Key Vault O Key Vault de destino ao qual você deseja se conectar. Tipo de cliente A mesma pilha de aplicativos neste Serviço de Aplicativo A pilha de aplicativos que funciona com o serviço de destino selecionado. O valor padrão é proveniente da pilha de tempo de execução do Serviço de Aplicativo. Selecione Próximo: autenticação para selecionar o tipo de autenticação. Em seguida, selecione Identidade gerenciada atribuída pelo sistema para conectar seu Key Vault.
Selecione Avançar: rede para selecionar a configuração de rede. Em seguida, selecione Habilitar configurações de firewall para atualizar a lista de permitidos de firewall no Key Vault para que o Serviço de Aplicativo possa acessar o Key Vault.
Em seguida, selecione Avançar: Examinar + Criar para examinar as informações fornecidas. Selecione Criar para criar a conexão de serviço. Pode levar um minuto para que a operação seja concluída.
Criar uma conexão de Armazenamento de Blobs no Serviço de Aplicativo e armazenar chaves de acesso no Key Vault
Agora você pode criar uma conexão de serviço com outro serviço de destino e armazenar diretamente chaves de acesso em um Key Vault conectado usando uma cadeia de conexão/chave de acesso ou uma entidade de serviço para autenticação. A seguir, usaremos o Armazenamento de Blobs como exemplo. Siga o mesmo processo para outros serviços de destino.
No portal do Azure, digite Serviço de Aplicativo no menu de pesquisa e selecione na lista o nome do Serviço de Aplicativo que você quer usar.
Selecione Conector de Serviço na tabela de conteúdo à esquerda. Em seguida, selecione Criar.
Selecione ou insira as configurações a seguir.
Configuração Valor sugerido Descrição Tipo de serviço Armazenamento de Blobs Tipo do serviço de destino. Se você não tiver um contêiner de Armazenamento de Blob, crie um ou use outro tipo de serviço. Assinatura Uma das suas assinaturas A assinatura na qual o serviço de destino está implantado. O serviço de destino é o serviço ao qual você deseja se conectar. O valor padrão é a assinatura listada para esse Serviço de Aplicativo. Nome da conexão Nome exclusivo gerado O nome da conexão que identifica a conexão entre o Serviço de Aplicativo e o serviço de destino. Conta de armazenamento Sua conta de armazenamento A conta de armazenamento de destino à qual você deseja se conectar. Se você escolher um tipo de serviço diferente, selecione a instância de serviço de destino correspondente. Tipo de cliente A mesma pilha de aplicativos neste Serviço de Aplicativo A pilha de aplicativos que funciona com o serviço de destino selecionado. O valor padrão é proveniente da pilha de tempo de execução do Serviço de Aplicativo. Configurar a autenticação
Importante
A Microsoft recomenda usar o fluxo de autenticação mais seguro disponível. O fluxo de autenticação descrito neste procedimento exige um grau muito alto de confiança no aplicativo e traz riscos que não estão presentes em outros fluxos. Você só deve usar esse fluxo quando outros fluxos mais seguros, como identidades gerenciadas, não forem viáveis.
Selecione Avançar: autenticação para selecionar o tipo de autenticação e selecione Cadeia de conexão para usar uma chave de acesso e se conectar à sua conta de armazenamento.
Configuração Valor sugerido Descrição Armazenar segredo para o Key Vault Verificação Essa opção permite que o Conector de Serviço armazene a cadeia de conexão/chave de acesso em seu Key Vault. Conexão do Key Vault Uma das suas conexões do Key Vault Selecione o Key Vault no qual você deseja armazenar sua cadeia de conexão/chave de acesso. Selecione Avançar: rede e Habilitar configurações de firewallpara atualizar a lista de permissões do firewall no Key Vault e permitir acesso ao Key Vault para o Serviço de Aplicativo.
Em seguida, selecione Avançar: Examinar + Criar para examinar as informações fornecidas.
Selecione Criar para criar a conexão de serviço. Pode levar até um minuto para que a operação seja concluída.
Exibir sua configuração no Key Vault
Expanda a conexão Armazenamento de Blobs, selecione Valor oculto. Clique para mostrar o valor. Você pode ver que o valor é uma referência do Key Vault.
Selecione o Key Vault na coluna Tipo de Serviço da conexão do Key Vault. Você será redirecionado para a página do portal do Key Vault.
Selecione Segredos na ToC à esquerda do Key Vault e selecione o nome do segredo do armazenamento de blobs.
Dica
Não tem permissão para listar segredos? Confira a solução de problemas do Azure Key Vault.
Selecione uma ID da versão na lista Versão Atual.
Selecione Mostrar valor secreto para obter a cadeia de conexão dessa conexão de armazenamento de blob.
Limpar os recursos
Quando não forem mais necessários, exclua o grupo de recursos e todos os recursos relacionados criados para esse tutorial. Para fazer isso, selecione um grupo de recursos ou os recursos individuais que você criou e selecione Excluir.