Compartilhar via


Início Rápido: Definir e recuperar uma chave do Azure Key Vault usando a CLI do Azure

Neste guia de início rápido, você cria um cofre de chaves no Azure Key Vault com CLI do Azure. O Azure Key Vault é um serviço de nuvem que funciona como um repositório de segredos seguro. Você pode armazenar chaves, senhas, certificados e outros segredos com segurança. Para saber mais sobre o Key Vault, analise a Visão geral. A CLI do Azure é usada para criar e gerenciar recursos do Azure usando comandos ou scripts. Quando concluir isso, você armazenará uma chave.

Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.

Pré-requisitos

  • Este guia de início rápido exige a versão 2.0.4 ou posterior da CLI do Azure. Se você está usando o Azure Cloud Shell, a versão mais recente já está instalada.

Criar um grupo de recursos

Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Use o comando az group create para criar um grupo de recursos chamado myResourceGroup na localização eastus.

az group create --name "myResourceGroup" --location "EastUS"

Criar um cofre de chaves

Use o comando az keyvault create da CLI do Azure para criar um Key Vault no grupo de recursos da etapa anterior. Você precisará fornecer algumas informações:

  • Nome do cofre de chaves: uma cadeia de 3 a 24 caracteres contendo somente números (0-9), letras (a-z, A-Z) e hifens (-)

    Importante

    Cada cofre de chaves deve ter um nome exclusivo. Substitua <seu-nome-de cofre-de-chaves-exclusivo> pelo nome do seu cofre de chaves nos exemplos a seguir.

  • Nome do grupo de recursos: myResourceGroup.

  • A localização: EastUS.

az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup"

A saída deste comando mostra as propriedades do cofre de chaves recém-criado. Anote estas duas propriedades:

  • Nome do cofre: o nome que você forneceu ao parâmetro --name.
  • URI do cofre: neste exemplo, ele é https://<seu-nome-do-cofre-exclusivo>.vault.azure.net/. Aplicativos que usam seu cofre via API REST devem usar esse URI.

Dê aos usuários da conta permissões para gerenciar chaves no Key Vault

Para obter permissões para o cofre de chaves por meio do RBAC (controle de acesso baseado em função), atribua uma função ao seu UPN (nome principal do usuário) usando o comando da CLI do Azure az role assignment create.

az role assignment create --role "Key Vault Crypto Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Substitua <upn>, <subscription-id>, <resource-group-name> e <your-unique-keyvault-name> pelos valores reais. Seu UPN normalmente estará no formato de um endereço de email (por exemplo, username@domain.com).

Adicionar uma chave ao Key Vault

Para adicionar uma chave ao cofre, basta executar algumas etapas adicionais. Essa chave pode ser usada por um aplicativo.

Digite este comando para criar uma chave chamada ExampleKey:

az keyvault key create --vault-name "<your-unique-keyvault-name>" -n ExampleKey --protection software

Agora, você pode referenciar essa chave que foi adicionada ao Azure Key Vault usando o respectivo URI. Use https://<your-unique-keyvault-name>.vault.azure.net/keys/ExampleKey para obter a versão atual.

Para ver a chave armazenada anteriormente:


az keyvault key show --name "ExampleKey" --vault-name "<your-unique-keyvault-name>"

Agora, você criou um Key Vault, armazenou uma chave e a recuperou.

Limpar os recursos

Outros guias de início rápido e tutoriais da coleção aproveitam esse guia de início rápido. Se você planeja continuar a trabalhar com os tutoriais e inícios rápidos subsequentes, deixe esses recursos onde estão.

Quando não forem mais necessários, você poderá usar o comando az group delete da CLI do Azure para remover o grupo de recursos e todos os recursos relacionados:

az group delete --name "myResourceGroup"

Próximas etapas

Neste início rápido, você criou um Key Vault e armazenou uma chave nele. Para saber mais sobre o Key Vault e como integrá-lo aos aplicativos, continue lendo estes artigos.