Compartilhar via

Configurar Key Vault para máquinas virtuais usando o Azure PowerShell

  • Artigo

Aplica-se a: ✔️ VMs Linux ✔️ VMs Windows ✔️ Conjuntos de dimensionamento flexíveis

Observação

O Azure tem dois modelos de implantação diferentes que você pode usar para criar e trabalhar com recursos: Azure Resource Manager e clássico. Este artigo abordará o uso do modelo de implantação do Resource Manager. Recomendamos usar o modelo de implantação do Resource Manager para executar novas implantações em vez do modelo clássico de implantação.

Na pilha do Azure Resource Manager, os certificados/segredos são modelados como recursos que são fornecidos pelo provedor de recursos do Cofre de Chaves. Para saber mais sobre o Cofre de Chaves, consulte O que é o Cofre de Chaves do Azure?

Observação

  1. Para que um Cofre de Chaves seja usado com máquinas virtuais do Azure Resource Manager, a propriedade EnabledForDeployment no Cofre de Chaves deverá ser definida como true. Você pode fazer isso em vários clientes.
  2. O Cofre de Chaves precisa ser criado na mesma assinatura e na mesma localização que a Máquina Virtual.

Usar o PowerShell para configurar o Cofre de Chaves

Para criar um key vault usando o PowerShell, consulte Definir e recuperar um segredo do Azure Key Vault usando o PowerShell.

Para novos cofres de chaves, você pode usar este cmdlet do PowerShell:

New-AzKeyVault -VaultName 'ContosoKeyVault' -ResourceGroupName 'ContosoResourceGroup' -Location 'East Asia' -EnabledForDeployment

Para cofres de chaves existentes, você pode usar este cmdlet do PowerShell:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoKeyVault' -EnabledForDeployment

Usar a CLI para configurar o Cofre de Chaves

Para criar um cofre de chaves usando a CLI (interface de linha de comando), consulte Gerenciar Cofre da Chave usando a CLI.

Para a CLI, você precisa criar o cofre de chaves antes de atribuir a política de implantação. Faça isso usando este comando:

az keyvault create --name "ContosoKeyVault" --resource-group "ContosoResourceGroup" --location "EastAsia"

Em seguida, para habilitar o Key Vault para uso com a implantação de modelo, execute o seguinte comando:

az keyvault update --name "ContosoKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-deployment "true"

Usar modelos para configurar o Cofre de Chaves

Ao usar um modelo, você precisa definir a propriedade enabledForDeployment como true para o recurso de Cofre de Chaves.

{
  "type": "Microsoft.KeyVault/vaults",
  "name": "ContosoKeyVault",
  "apiVersion": "2015-06-01",
  "location": "<location-of-key-vault>",
  "properties": {
    "enabledForDeployment": "true",
    ....
    ....
  }
}

Para saber outras opções que você pode configurar ao criar um cofre de chaves usando modelos, consulte Criar um cofre de chave.