在 Azure Stack Hub Key Vault 中存储服务主体凭据

在 Azure Stack Hub 上开发应用通常需要创建服务主体,并在部署之前使用这些凭据进行身份验证。 但是,有时会丢失服务主体的存储凭据。 本文介绍如何创建服务主体,并将值存储在 Azure Key Vault 中以供日后检索。

有关 Key Vault 的详细信息,请参阅 Azure Stack Hub 中的 Key Vault 简介

先决条件

  • 包含 Azure Key Vault 服务的产品/服务的订阅。
  • PowerShell 已安装并配置为用于 Azure Stack Hub。

Azure Stack Hub 中的 Key Vault

Azure Stack Hub 中的 Key Vault 可帮助保护云应用和服务使用的加密密钥和机密。 使用 Key Vault 可以加密密钥和机密。

若要创建 Key Vault,请执行以下步骤:

  1. 登录到 Azure Stack Hub 门户。

  2. 在仪表板中,依次选择“+ 创建资源”、“安全 + 标识”、“Key Vault”。

    Create key vault

  3. 在“创建密钥保管库”窗格中,为保管库分配名称。 保管库名称只能包含字母数字字符和连字符 (-), 不能以数字开头。

  4. 从可用订阅列表中选择订阅。

  5. 选择现有的资源组,或创建一个新的组。

  6. 选择定价层。

  7. 选择一个现有的访问策略,或创建一个新的访问策略。 使用访问策略可授予用户、应用程序或安全组对此保管库执行操作的权限。

  8. (可选)选择“高级访问权限策略”以便能够访问所需功能。

  9. 配置设置后,请选择“确定”,然后选择“创建”。 Key Vault 部署随即开始。

创建服务主体

  1. 通过 Azure 门户登录到你的 Azure 帐户。

  2. 依次选择“Microsoft Entra ID”、“应用注册”、“添加”。

  3. 为应用提供名称和 URL。 选择“Web 应用/API”或“本机”作为要创建的应用的类型。 设置这些值后,选择“创建”

  4. 依次选择“Active Directory”、“应用程序注册”、你的应用程序。

  5. 复制“应用程序 ID”并将其存储在应用代码中。 在引用“应用程序 ID”时,示例应用使用“客户端 ID”。

  6. 若要生成身份验证密钥,请选择“密钥”。

  7. 提供密钥的说明和持续时间。

  8. 选择“保存”。

  9. 复制单击“保存”后显示的密钥

在 Key Vault 中存储服务主体

  1. 登录 Azure Stack Hub 用户门户,选择前面创建的密钥保管库,然后选择“机密”磁贴。

  2. 在“机密”窗格中,选择“生成/导入”。

  3. 在“创建机密”窗格中,从选项列表中选择“手动”。 如果已使用证书创建了服务主体,请从下拉列表中选择证书,然后上传文件。

  4. 输入从服务主体中复制的“应用程序 ID”作为密钥的名称。 密钥名称只能包含字母数字字符和连字符 (-)。

  5. 将服务主体中的密钥值粘贴到“值”选项卡中。

  6. 选择“服务主体”作为“内容类型”。

  7. 设置密钥的“激活日期”和“过期日期”值。

  8. 选择“创建”以开始部署。

成功创建机密后,服务主体信息将存储在那里。 随时可以在“机密”下面选择该机密,并查看或修改其属性。 “属性”部分包含机密标识符,即外部应用用来访问此机密的统一资源标识符 (URI)。

后续步骤