Exercício – Criar um cofre de chaves e armazenar segredos

  • 7 minutos

Criar cofres de chaves para seus aplicativos

Uma melhor prática é criar um cofre separado para cada ambiente de implantação de cada um de seus aplicativos, como desenvolvimento, teste e produção. É possível usar um único cofre para armazenar segredos para vários aplicativos e ambientes, mas o impacto de um invasor obter acesso de leitura a um cofre aumenta com o número de segredos no cofre.

Dica

Se você usar os mesmos nomes de segredos em ambientes diferentes para um aplicativo, a única configuração específica do ambiente que precisará ser alterada no aplicativo será a URL do cofre.

A criação de um cofre não exige nenhuma configuração inicial. A identidade de usuário recebe automaticamente o conjunto completo de permissões de gerenciamento de segredos. Você pode começar a adicionar segredos imediatamente. Depois que tiver um cofre, você poderá adicionar e gerenciar segredos de qualquer interface administrativa do Azure, incluindo o portal do Azure, a CLI do Azure e o Azure PowerShell. Quando você configurar seu aplicativo para usar o cofre, precisará atribuir as permissões corretas a ele, conforme descrito na próxima unidade.

Criar o cofre de chaves e armazenar o segredo nele

Considerando todos os problemas que a empresa enfrenta com segredos do aplicativo, a gerência solicitou que você criasse um aplicativo inicial pequeno para colocar os outros desenvolvedores no caminho certo. O aplicativo precisa demonstrar as melhores práticas para o gerenciamento de segredos da forma mais simples e segura possível.

Para começar, crie um cofre e armazene um segredo nele.

Criar o Key Vault

Os nomes do cofre de chaves precisam ser globalmente exclusivos e, portanto, você precisará escolher um nome exclusivo. Os nomes de cofre precisam ter de 3 a 24 caracteres e conter somente caracteres alfanuméricos e traços. Anote o nome do cofre escolhido, pois você precisará dele neste exercício.

Para criar seu cofre, execute o comando a seguir no Azure Cloud Shell. Certifique-se de inserir o nome exclusivo do cofre para o parâmetro --name.

az keyvault create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --location centralus \
    --name <your-unique-vault-name>

Após a conclusão, será exibida a saída JSON que descreve o novo cofre.

Dica

O comando usou o grupo de recursos pré-criado chamado [grupo de recursos da área restrita]. Ao trabalhar com sua própria assinatura, será interessante criar um grupo de recursos ou usar um que já foi criado.

Adicionar o segredo

Agora, adicionar o segredo. Nosso segredo é nomeado SecretPassword com um valor de reindeer_flotilla. Substitua <your-unique-vault-name> pelo nome do cofre que você criou no parâmetro --vault-name.

az keyvault secret set \
    --name SecretPassword \
    --value reindeer_flotilla \
    --vault-name <your-unique-vault-name>

Você gravará o código do aplicativo em breve, mas primeiro precisará aprender um pouco mais sobre como será a autenticação de seu aplicativo em um cofre.