Partilhar via


Permitir que as aplicações acedam aos segredos Key Vault do Azure Stack Hub

Os passos neste artigo descrevem como executar a aplicação de exemplo HelloKeyVault que obtém chaves e segredos de um cofre de chaves no Azure Stack Hub.

Pré-requisitos

Pode instalar os seguintes pré-requisitos a partir do Development Kit do Azure Stack ou a partir de um cliente externo baseado no Windows se estiver ligado através da VPN:

Criar um cofre de chaves e registar uma aplicação

Para se preparar para o exemplo de aplicação:

  • Crie um cofre de chaves no Azure Stack Hub.
  • Registar uma aplicação no Microsoft Entra ID.

Utilize o portal do Azure ou o PowerShell para se preparar para a aplicação de exemplo.

Nota

Por predefinição, o script do PowerShell cria uma nova aplicação no Active Directory. No entanto, pode registar uma das suas aplicações existentes.

Antes de executar o seguinte script, certifique-se de que fornece valores para as aadTenantName variáveis e applicationPassword . Se não especificar um valor para applicationPassword, este script gera uma palavra-passe aleatória.

$vaultName           = 'myVault'
$resourceGroupName   = 'myResourceGroup'
$applicationName     = 'myApp'
$location            = 'local'

# Password for the application. If not specified, this script generates a random password during app creation.
$applicationPassword = ''

# Function to generate a random password for the application.
Function GenerateSymmetricKey()
{
    $key = New-Object byte[](32)
    $rng = [System.Security.Cryptography.RNGCryptoServiceProvider]::Create()
    $rng.GetBytes($key)
    return [System.Convert]::ToBase64String($key)
}

Write-Host 'Please log into your Azure Stack Hub user environment' -foregroundcolor Green

$tenantARM = "https://management.local.azurestack.external"
$aadTenantName = "FILL THIS IN WITH YOUR AAD TENANT NAME. FOR EXAMPLE: myazurestack.onmicrosoft.com"

# Configure the Azure Stack Hub operator's PowerShell environment.
Add-AzEnvironment `
  -Name "AzureStackUser" `
  -ArmEndpoint $tenantARM

$TenantID = Get-AzsDirectoryTenantId `
  -AADTenantName $aadTenantName `
  -EnvironmentName AzureStackUser

# Sign in to the user portal.
Connect-AzAccount `
  -EnvironmentName "AzureStackUser" `
  -TenantId $TenantID `

$now = [System.DateTime]::Now
$oneYearFromNow = $now.AddYears(1)

$applicationPassword = GenerateSymmetricKey

# Create a new Azure AD application.
$identifierUri = [string]::Format("http://localhost:8080/{0}",[Guid]::NewGuid().ToString("N"))
$homePage = "https://contoso.com"

Write-Host "Creating a new AAD Application"
$ADApp = New-AzADApplication `
  -DisplayName $applicationName `
  -HomePage $homePage `
  -IdentifierUris $identifierUri `
  -StartDate $now `
  -EndDate $oneYearFromNow `
  -Password $applicationPassword

Write-Host "Creating a new AAD service principal"
$servicePrincipal = New-AzADServicePrincipal `
  -ApplicationId $ADApp.ApplicationId

# Create a new resource group and a key vault in that resource group.
New-AzResourceGroup `
  -Name $resourceGroupName `
  -Location $location

Write-Host "Creating vault $vaultName"
$vault = New-AzKeyVault -VaultName $vaultName `
  -ResourceGroupName $resourceGroupName `
  -Sku standard `
  -Location $location

# Specify full privileges to the vault for the application.
Write-Host "Setting access policy"
Set-AzKeyVaultAccessPolicy -VaultName $vaultName `
  -ObjectId $servicePrincipal.Id `
  -PermissionsToKeys all `
  -PermissionsToSecrets all

Write-Host "Paste the following settings into the app.config file for the HelloKeyVault project:"
'<add key="VaultUrl" value="' + $vault.VaultUri + '"/>'
'<add key="AuthClientId" value="' + $servicePrincipal.ApplicationId + '"/>'
'<add key="AuthClientSecret" value="' + $applicationPassword + '"/>'
Write-Host

A imagem seguinte mostra o resultado do script utilizado para criar o cofre de chaves:

Cofre de chaves com chaves de acesso

Anote os valores VaultUrl, AuthClientId e AuthClientSecret devolvidos pelo script anterior. Utilize estes valores para executar a aplicação HelloKeyVault .

Transferir e configurar a aplicação de exemplo

Transfira o exemplo do cofre de chaves a partir da página exemplos de cliente do Azure Key Vault. Extraia o conteúdo do ficheiro .zip na estação de trabalho de desenvolvimento. Existem duas aplicações na pasta de exemplos; este artigo utiliza HelloKeyVault.

Para carregar o exemplo HelloKeyVault :

  1. Navegue para a pasta Microsoft.Azure.KeyVault.Samples samples>>HelloKeyVault.
  2. Abra a aplicação HelloKeyVault no Visual Studio.

Configurar o exemplo de aplicação

No Visual Studio:

  1. Abra o ficheiro HelloKeyVault\App.config e localize o <appSettings> elemento .

  2. Atualize as chaves VaultUrl, AuthClientId e AuthCertThumbprint com os valores devolvidos ao criar o cofre de chaves. Por predefinição, o ficheiro App.config tem um marcador de posição para AuthCertThumbprint. Substitua este marcador de posição por AuthClientSecret.

    <appSettings>
     <!-- Update these settings for your test environment -->
     <add key="VaultUrl" value="URL to your Vault" />
     <add key="AuthClientId" value="Client Id of your Service Principal" />
     <add key="AuthCertThumbprint" value="Thumbprint of the certificate used for authentication" />
     <add key="TracingEnabled" value="false" />
    </appSettings>
    
  3. Recrie a solução.

Executar a aplicação

Quando executa HelloKeyVault, a aplicação inicia sessão no Microsoft Entra ID e, em seguida, utiliza o AuthClientSecret token para autenticar no cofre de chaves no Azure Stack Hub.

Pode utilizar o exemplo HelloKeyVault para:

  • Execute operações básicas, como criar, encriptar, moldar e eliminar nas chaves e segredos.
  • Transmita parâmetros como encrypt e decrypt para HelloKeyVault e aplique as alterações especificadas a um cofre de chaves.

Passos seguintes