Permitir que as aplicações acedam aos segredos Key Vault do Azure Stack Hub
Os passos neste artigo descrevem como executar a aplicação de exemplo HelloKeyVault que obtém chaves e segredos de um cofre de chaves no Azure Stack Hub.
Pré-requisitos
Pode instalar os seguintes pré-requisitos a partir do Development Kit do Azure Stack ou a partir de um cliente externo baseado no Windows se estiver ligado através da VPN:
- Instale módulos de Azure PowerShell compatíveis com o Azure Stack Hub.
- Transfira as ferramentas necessárias para trabalhar com o Azure Stack Hub.
Criar um cofre de chaves e registar uma aplicação
Para se preparar para o exemplo de aplicação:
- Crie um cofre de chaves no Azure Stack Hub.
- Registar uma aplicação no Microsoft Entra ID.
Utilize o portal do Azure ou o PowerShell para se preparar para a aplicação de exemplo.
Nota
Por predefinição, o script do PowerShell cria uma nova aplicação no Active Directory. No entanto, pode registar uma das suas aplicações existentes.
Antes de executar o seguinte script, certifique-se de que fornece valores para as aadTenantName
variáveis e applicationPassword
. Se não especificar um valor para applicationPassword
, este script gera uma palavra-passe aleatória.
$vaultName = 'myVault'
$resourceGroupName = 'myResourceGroup'
$applicationName = 'myApp'
$location = 'local'
# Password for the application. If not specified, this script generates a random password during app creation.
$applicationPassword = ''
# Function to generate a random password for the application.
Function GenerateSymmetricKey()
{
$key = New-Object byte[](32)
$rng = [System.Security.Cryptography.RNGCryptoServiceProvider]::Create()
$rng.GetBytes($key)
return [System.Convert]::ToBase64String($key)
}
Write-Host 'Please log into your Azure Stack Hub user environment' -foregroundcolor Green
$tenantARM = "https://management.local.azurestack.external"
$aadTenantName = "FILL THIS IN WITH YOUR AAD TENANT NAME. FOR EXAMPLE: myazurestack.onmicrosoft.com"
# Configure the Azure Stack Hub operator's PowerShell environment.
Add-AzEnvironment `
-Name "AzureStackUser" `
-ArmEndpoint $tenantARM
$TenantID = Get-AzsDirectoryTenantId `
-AADTenantName $aadTenantName `
-EnvironmentName AzureStackUser
# Sign in to the user portal.
Connect-AzAccount `
-EnvironmentName "AzureStackUser" `
-TenantId $TenantID `
$now = [System.DateTime]::Now
$oneYearFromNow = $now.AddYears(1)
$applicationPassword = GenerateSymmetricKey
# Create a new Azure AD application.
$identifierUri = [string]::Format("http://localhost:8080/{0}",[Guid]::NewGuid().ToString("N"))
$homePage = "https://contoso.com"
Write-Host "Creating a new AAD Application"
$ADApp = New-AzADApplication `
-DisplayName $applicationName `
-HomePage $homePage `
-IdentifierUris $identifierUri `
-StartDate $now `
-EndDate $oneYearFromNow `
-Password $applicationPassword
Write-Host "Creating a new AAD service principal"
$servicePrincipal = New-AzADServicePrincipal `
-ApplicationId $ADApp.ApplicationId
# Create a new resource group and a key vault in that resource group.
New-AzResourceGroup `
-Name $resourceGroupName `
-Location $location
Write-Host "Creating vault $vaultName"
$vault = New-AzKeyVault -VaultName $vaultName `
-ResourceGroupName $resourceGroupName `
-Sku standard `
-Location $location
# Specify full privileges to the vault for the application.
Write-Host "Setting access policy"
Set-AzKeyVaultAccessPolicy -VaultName $vaultName `
-ObjectId $servicePrincipal.Id `
-PermissionsToKeys all `
-PermissionsToSecrets all
Write-Host "Paste the following settings into the app.config file for the HelloKeyVault project:"
'<add key="VaultUrl" value="' + $vault.VaultUri + '"/>'
'<add key="AuthClientId" value="' + $servicePrincipal.ApplicationId + '"/>'
'<add key="AuthClientSecret" value="' + $applicationPassword + '"/>'
Write-Host
A imagem seguinte mostra o resultado do script utilizado para criar o cofre de chaves:
Anote os valores VaultUrl, AuthClientId e AuthClientSecret devolvidos pelo script anterior. Utilize estes valores para executar a aplicação HelloKeyVault .
Transferir e configurar a aplicação de exemplo
Transfira o exemplo do cofre de chaves a partir da página exemplos de cliente do Azure Key Vault. Extraia o conteúdo do ficheiro .zip na estação de trabalho de desenvolvimento. Existem duas aplicações na pasta de exemplos; este artigo utiliza HelloKeyVault.
Para carregar o exemplo HelloKeyVault :
- Navegue para a pasta Microsoft.Azure.KeyVault.Samples samples>>HelloKeyVault.
- Abra a aplicação HelloKeyVault no Visual Studio.
Configurar o exemplo de aplicação
No Visual Studio:
Abra o ficheiro HelloKeyVault\App.config e localize o
<appSettings>
elemento .Atualize as chaves VaultUrl, AuthClientId e AuthCertThumbprint com os valores devolvidos ao criar o cofre de chaves. Por predefinição, o ficheiro App.config tem um marcador de posição para
AuthCertThumbprint
. Substitua este marcador de posição porAuthClientSecret
.<appSettings> <!-- Update these settings for your test environment --> <add key="VaultUrl" value="URL to your Vault" /> <add key="AuthClientId" value="Client Id of your Service Principal" /> <add key="AuthCertThumbprint" value="Thumbprint of the certificate used for authentication" /> <add key="TracingEnabled" value="false" /> </appSettings>
Recrie a solução.
Executar a aplicação
Quando executa HelloKeyVault, a aplicação inicia sessão no Microsoft Entra ID e, em seguida, utiliza o AuthClientSecret
token para autenticar no cofre de chaves no Azure Stack Hub.
Pode utilizar o exemplo HelloKeyVault para:
- Execute operações básicas, como criar, encriptar, moldar e eliminar nas chaves e segredos.
- Transmita parâmetros como
encrypt
edecrypt
para HelloKeyVault e aplique as alterações especificadas a um cofre de chaves.