快速入门：适用于 JavaScript 的 Azure Key Vault 机密客户端库

适用于 JavaScript 的 Azure Key Vault 机密客户端库入门。 Azure Key Vault 是一项云服务，它为机密提供了安全的存储。 可以安全地存储密钥、密码、证书和其他机密。 可以通过 Azure 门户创建和管理 Azure Key Vault。 本快速入门介绍如何使用 JavaScript 客户端库在 Azure 密钥保管库中创建、检索和删除机密

Key Vault 客户端库资源：

API 参考文档 | 库源代码 | 包 (npm)

有关 Key Vault 和机密的详细信息，请参阅：

• Key Vault 概述
• 机密概述

先决条件

• Azure 订阅 - 创建试用版订阅。
• 当前 Node.js LTS。
• Azure CLI
• 现有的 Key Vault - 可以使用以下方法创建一个：
  • Azure CLI
  • Azure 门户
  • Azure PowerShell

本快速入门假设你运行 Azure CLI。

登录 Azure

1. 运行 login 命令。

   az cloud set -n AzureChinaCloud
   az login
   

   如果 CLI 可以打开默认浏览器，它将这样做并加载 Azure 登录页。

   否则，请在 https://aka.ms/deviceloginchina 处打开浏览器页，然后输入终端中显示的授权代码。

2. 在浏览器中使用帐户凭据登录。

创建新的 Node.js 应用程序

创建一个使用密钥保管库的 Node.js 应用程序。

1. 在终端中，创建一个名为 key-vault-node-app 的文件夹并更改为该文件夹：

   mkdir key-vault-node-app && cd key-vault-node-app
   

2. 初始化 Node.js 项目：

   npm init -y
   

安装 Key Vault 包

1. 使用终端安装 Azure Key Vault 机密客户端库（适用于 Node.js 的 @azure/keyvault-secrets）。

   npm install @azure/keyvault-secrets
   

2. 安装 Azure 标识库（@azure/identity 包）以对密钥保管库进行身份验证。

   npm install @azure/identity
   

授予对 Key Vault 的访问权限

使用 az keyvault set-policy 命令为密钥保管库创建一个保管库访问策略，以便为用户帐户授予机密权限。

az keyvault set-policy --name <your-key-vault-name> --upn user@domain.com --secret-permissions delete get list set purge update

设置环境变量

此应用程序使用 Key Vault 名称作为名为 KEY_VAULT_NAME 的环境变量。

set KEY_VAULT_NAME=<your-key-vault-name>

$Env:KEY_VAULT_NAME="<your-key-vault-name>"

export KEY_VAULT_NAME=<your-key-vault-name>

进行身份验证并创建客户端

对大多数 Azure 服务的应用程序请求必须获得授权。 要在代码中实现与 Azure 服务的无密码连接，推荐使用由 Azure 标识客户端库提供的 DefaultAzureCredential 方法。 DefaultAzureCredential 支持多种身份验证方法，并确定应在运行时使用哪种方法。 通过这种方法，你的应用可在不同环境（本地与生产）中使用不同的身份验证方法，而无需实现特定于环境的代码。

在本快速入门中，DefaultAzureCredential 使用登录到 Azure CLI 的本地开发用户的凭据对密钥保管库进行身份验证。 将应用程序部署到 Azure 时，相同的 DefaultAzureCredential 代码可以自动发现并使用分配给应用服务、虚拟机或其他服务的托管标识。 有关详细信息，请参阅托管标识概述。

在此代码中，密钥保管库的名称用于创建密钥保管库 URI，格式为 https://<your-key-vault-name>.vault.azure.cn。 有关向密钥保管库进行身份验证的详细信息，请参阅开发人员指南。

代码示例

以下代码示例演示如何创建客户端以及设置、检索和删除机密。

此代码使用以下密钥保管库机密类和方法：

• DefaultAzureCredential
• SecretClient 类
  • setSecret
  • getSecret
  • updateSecretProperties
  • beginDeleteSecret

设置应用框架

1. 创建新文本文件并将以下代码粘贴到 index.js 文件中。

   const { SecretClient } = require("@azure/keyvault-secrets");
   const { DefaultAzureCredential } = require("@azure/identity");
   
   async function main() {
     // If you're using MSI, DefaultAzureCredential should "just work".
     // Otherwise, DefaultAzureCredential expects the following three environment variables:
     // - AZURE_TENANT_ID: The tenant ID in Azure Active Directory
     // - AZURE_CLIENT_ID: The application (client) ID registered in the AAD tenant
     // - AZURE_CLIENT_SECRET: The client secret for the registered application
     const credential = new DefaultAzureCredential();
   
     const keyVaultName = process.env["KEY_VAULT_NAME"];
     if(!keyVaultName) throw new Error("KEY_VAULT_NAME is empty");
     const url = "https://" + keyVaultName + ".vault.azure.cn";
   
     const client = new SecretClient(url, credential);
   
     // Create a secret
     // The secret can be a string of any kind. For example,
     // a multiline text block such as an RSA private key with newline characters,
     // or a stringified JSON object, like `JSON.stringify({ mySecret: 'MySecretValue'})`.
     const uniqueString = new Date().getTime();
     const secretName = `secret${uniqueString}`;
     const result = await client.setSecret(secretName, "MySecretValue");
     console.log("result: ", result);
   
     // Read the secret we created
     const secret = await client.getSecret(secretName);
     console.log("secret: ", secret);
   
     // Update the secret with different attributes
     const updatedSecret = await client.updateSecretProperties(secretName, result.properties.version, {
       enabled: false
     });
     console.log("updated secret: ", updatedSecret);
   
     // Delete the secret immediately without ability to restore or purge.
     await client.beginDeleteSecret(secretName);
   }
   
   main().catch((error) => {
     console.error("An error occurred:", error);
     process.exit(1);
   });
   

运行示例应用程序

1. 运行应用：

   node index.js
   

2. create 和 get 方法为机密返回完整的 JSON 对象：

   {
       "value": "MySecretValue",
       "name": "secret1637692472606",
       "properties": {
           "createdOn": "2021-11-23T18:34:33.000Z",
           "updatedOn": "2021-11-23T18:34:33.000Z",
           "enabled": true,
           "recoverableDays": 90,
           "recoveryLevel": "Recoverable+Purgeable",
           "id": "https: //YOUR-KEYVAULT-NAME.vault.azure.cn/secrets/secret1637692472606/YOUR-VERSION",
           "vaultUrl": "https: //YOUR-KEYVAULT-NAME.vault.azure.cn",
           "version": "YOUR-VERSION",
           "name": "secret1637692472606"
       }
   }
   

   update 方法返回 properties 名称/值对：

   "createdOn": "2021-11-23T18:34:33.000Z",
   "updatedOn": "2021-11-23T18:34:33.000Z",
   "enabled": true,
   "recoverableDays": 90,
   "recoveryLevel": "Recoverable+Purgeable",
   "id": "https: //YOUR-KEYVAULT-NAME.vault.azure.cn/secrets/secret1637692472606/YOUR-VERSION",
   "vaultUrl": "https: //YOUR-KEYVAULT-NAME.vault.azure.cn",
   "version": "YOUR-VERSION",
   "name": "secret1637692472606"
   

与应用配置集成

Azure SDK 提供了一个帮助程序方法 parseKeyVaultSecretIdentifier，用于解析给定的 Key Vault 机密 ID。 如果使用对 Key Vault 的应用配置引用，这是必要的。 应用配置存储 Key Vault 机密 ID。 需要 parseKeyVaultSecretIdentifier 方法来解析该 ID 以获取机密名称。 获得机密名称后，可以使用本快速入门中的代码获取当前的机密值。

后续步骤

在本快速入门中，你创建了一个密钥保管库、存储了一个机密，然后检索了该机密。 若要详细了解 Key Vault 以及如何将其与应用程序集成，请继续阅读以下文章。

• 阅读 Azure Key Vault 概述
• 阅读 Azure Key Vault 机密概述
• 如何保护对密钥保管库的访问
• 参阅 Azure Key Vault 开发人员指南
• 请参阅 Key Vault 安全性概述