Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
在本快速入门中,你将使用 Azure CLI 在 Azure 密钥保管库 中创建密钥保管库。 Azure 密钥保管库是充当安全机密存储的云服务。 可以安全地存储密钥、密码、证书和其他机密。 有关密钥保管库的详细信息,可以查看 Overview。 Azure CLI用于使用命令或脚本创建和管理Azure资源。 完成后,将存储证书。
如果没有 Azure 试用版订阅,请在开始之前创建 Azure 试用订阅。
先决条件
如果希望在本地运行 CLI 引用命令,install Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行Azure CLI。 有关详细信息,请参阅 如何在 Docker 容器中运行Azure CLI。
如果使用本地安装,请使用 az login 命令登录到Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅Azure CLI登录。
出现提示时,请在首次使用时安装 Azure CLI 扩展。 有关扩展的详细信息,请参阅 使用 Azure CLI 的扩展。
运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本,请运行 az upgrade。
- 本快速入门需要 2.0.4 或更高版本的 Azure CLI。
创建资源组
资源组是在其中部署和管理Azure资源的逻辑容器。 使用 az group create 命令在 chinaeast 位置创建一个名为“myResourceGroup”的资源组。
az group create --name "myResourceGroup" -l "ChinaNorth"
创建密钥保管库
使用 Azure CLI az keyvault create 命令在上一步的资源组中创建密钥保管库。 需要提供某些信息:
Key Vault 名称:由 3 到 24 个字符构成的字符串,只能包含数字 (0-9)、字母(a-z、A-Z)和连字符 (-)
重要
每个密钥保管库必须具有唯一的名称。 在以下示例中,将 <your-unique-keyvault-name> 替换为密钥保管库的名称。
资源组名称:myResourceGroup。
位置:ChinaEast。
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup"
此命令的输出会显示新建的 Key Vault 的属性。 记下以下两个属性:
-
保管库名称:为
--name参数指定的名称。 - 保管库 URI:在本示例中,保管库 URI 为 https://<your-unique-keyvault-name>.vault.azure.cn/。 通过其 REST API 使用保管库的应用程序必须使用此 URI。
授予用户帐户管理密钥保管库中的证书的权限
若要通过 Role-Based 访问控制 (RBAC)获取密钥保管库的权限,请使用 Azure CLI 命令az 角色分配创建为“用户主体名称”(UPN)分配角色。
az role assignment create --role "Key Vault Certificates Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
将 <upn>、<subscription-id>、<resource-group-name> 和 <your-unique-keyvault-name> 替换为你的实际值。 你的 UPN 通常采用电子邮件地址格式(例如 username@domain.com)。
将证书添加到密钥保管库
若要向保管库中添加证书,只需再执行几个步骤即可。 此证书可供应用程序使用。
键入以下命令,使用名为“ExampleCertificate” 的默认策略创建自签名证书:
az keyvault certificate create --vault-name "<vault-name>" -n ExampleCertificate -p "$(az keyvault certificate get-default-policy)"
现在,可以使用其 URI 引用已添加到Azure 密钥保管库的此证书。 使用 https://<vault-name>.vault.azure.cn/certificates/ExampleCertificate 获取当前版本。
若要查看以前存储的证书,请使用以下命令:
az keyvault certificate show --name "ExampleCertificate" --vault-name "<vault-name>"
现在,你已创建一个密钥保管库,存储了一个证书,并检索了它。
清理资源
本系列中的其他快速入门和教程是在本快速入门的基础上制作的。 如果打算继续使用后续的快速入门和教程,则可能需要保留这些资源。
如果不再需要资源组和所有相关资源,可以使用 Azure CLI az group delete 命令删除资源组和所有相关资源:
az group delete --name "myResourceGroup"
后续步骤
在本快速入门中,你创建了一个密钥保管库并存储了证书。 若要详细了解密钥保管库以及如何将其与应用程序集成,请继续阅读以下文章。
- 阅读 Azure 密钥保管库 概述
- 请参阅 Azure CLI az keyvault 命令 的参考。
- 查看 密钥保管库 安全概述
- 查看 特定于证书的安全最佳做法