Поделиться через

Настройка Key Vault для виртуальных машин с помощью Azure PowerShell

  • Статья

Применимо к: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️ Гибкие масштабируемые наборы

Примечание.

В Azure доступны две модели развертывания для создания ресурсов и работы с ними: модель Azure Resource Manager и классическая модель. В этой статье описывается модель развертывания с помощью Resource Manager. Мы рекомендуем использовать для новых развертываний модель развертывания с помощью Resource Manager вместо классической модели развертывания.

В стеке Azure Resource Manager секреты или сертификаты моделируются как ресурсы, которые предоставляются поставщиком ресурсов хранилища ключей. Чтобы больше узнать о хранилище ключей, ознакомьтесь с разделом Что такое хранилище ключей Azure?

Примечание.

  1. Чтобы хранилище ключей можно было использовать для виртуальных машин Azure Resource Manager, свойству EnabledForDeployment хранилища ключей должно быть присвоено значение true. Это можно сделать на различных клиентах.
  2. Хранилище ключей должно быть создано в тех же подписке и расположении, что и виртуальная машина.

Использование PowerShell для настройки хранилища ключей

Сведения о создании хранилища ключей с помощью PowerShell см. в статье Настройка и получение секрета из Azure Key Vault с помощью PowerShell.

Для новых хранилищ ключей можно использовать этот командлет PowerShell:

New-AzKeyVault -VaultName 'ContosoKeyVault' -ResourceGroupName 'ContosoResourceGroup' -Location 'East Asia' -EnabledForDeployment

Для существующих хранилищ ключей можно использовать этот командлет PowerShell:

Set-AzKeyVaultAccessPolicy -VaultName 'ContosoKeyVault' -EnabledForDeployment

Использование интерфейса командной строки для настройки хранилища ключей

Сведения об использовании интерфейса командной строки (CLI) для создания хранилища ключей см. в статье Управление хранилищем ключей с помощью CLI.

Чтобы использовать интерфейс командной строки, необходимо сначала создать хранилище ключей, а затем назначить политику развертывания. Это можно сделать с помощью следующей команды:

az keyvault create --name "ContosoKeyVault" --resource-group "ContosoResourceGroup" --location "EastAsia"

Затем, чтобы включить Key Vault для развертывания шаблона, выполните следующую команду:

az keyvault update --name "ContosoKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-deployment "true"

Использование шаблонов для настройки хранилища ключей

При использовании шаблона свойству enabledForDeployment ресурса хранилища ключей нужно присвоить значение true.

{
  "type": "Microsoft.KeyVault/vaults",
  "name": "ContosoKeyVault",
  "apiVersion": "2015-06-01",
  "location": "<location-of-key-vault>",
  "properties": {
    "enabledForDeployment": "true",
    ....
    ....
  }
}

Сведения о других параметрах, которые можно настроить при создании хранилища ключей с помощью шаблонов, см. в статье Создание хранилища ключей.