在本快速入门中,你将使用 Azure CLI 在 Azure Key Vault 中创建密钥保管库。 Azure Key Vault是充当安全机密存储的云服务。 可以安全地存储密钥、密码、证书和其他机密。 有关Key Vault的详细信息,可以查看 Overview。 Azure CLI用于使用命令或脚本创建和管理Azure资源。 完成后,你将存储一个机密信息。
如果没有 Azure 试用版订阅,请在开始之前创建 Azure 试用订阅。
先决条件
如果希望在本地运行 CLI 引用命令,install Azure CLI。 如果在 Windows 或 macOS 上运行,请考虑在 Docker 容器中运行Azure CLI。 有关详细信息,请参阅 如何在 Docker 容器中运行Azure CLI。
如果使用本地安装,请使用 az login 命令登录到Azure CLI。 若要完成身份验证过程,请遵循终端中显示的步骤。 有关其他登录选项,请参阅Azure CLI登录。
出现提示时,请在首次使用时安装 Azure CLI 扩展。 有关扩展的详细信息,请参阅 使用 Azure CLI 的扩展。
运行 az version 以查找安装的版本和依赖库。 若要升级到最新版本,请运行 az upgrade。
- 本快速入门需要 2.0.4 或更高版本的 Azure CLI。
创建资源组
资源组是在其中部署和管理Azure资源的逻辑容器。 使用 az group create 命令在 chinaeast 位置创建一个名为“myResourceGroup”的资源组。
az group create --name "myResourceGroup" --location "ChinaEast"
创建密钥保管库
使用 Azure CLI az keyvault create 命令在上一步的资源组中创建Key Vault。 需要提供某些信息:
Key Vault 名称:由 3 到 24 个字符构成的字符串,只能包含数字 (0-9)、字母(a-z、A-Z)和连字符 (-)
重要
每个密钥保管库必须具有唯一的名称。 在以下示例中,将 <your-unique-keyvault-name> 替换为密钥保管库的名称。
资源组名称:myResourceGroup。
位置:ChinaEast。
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup"
此命令的输出会显示新建的 Key Vault 的属性。 记下以下两个属性:
-
保管库名称:为
--name参数指定的名称。 - 保管库 URI:在本示例中,保管库 URI 为 https://<your-unique-keyvault-name>.vault.azure.cn/。 通过其 REST API 使用保管库的应用程序必须使用此 URI。
为您的用户帐户添加管理“Key Vault”中机密的权限设置。
若要通过 Role-Based Access Control (RBAC)获取密钥保管库的权限,请使用 Azure CLI 命令az 角色分配创建为“用户主体名称”(UPN)分配角色。
az role assignment create --role "Key Vault Secrets Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
将 <upn>、<subscription-id>、<resource-group-name> 和 <your-unique-keyvault-name> 替换为你的实际值。 你的 UPN 通常采用电子邮件地址格式(例如 username@domain.com)。
将机密添加到Key Vault
只需再执行几个步骤即可向保管库添加机密。 此密码可供应用程序使用。 此密码将名为 ExamplePassword,将在其中存储的值为 hVFkk965BuUv。
使用下面的 Azure CLI az keyvault secret set 命令在 Key Vault 中创建一个名为 ExamplePassword 的机密,以储存值 hVFkk965BuUv。
az keyvault secret set --vault-name "<vault-name>" --name "ExamplePassword" --value "hVFkk965BuUv"
从Key Vault检索机密
现在,您可以通过使用其 URI 引用您已添加到 Azure Key Vault 的密码。 使用 https://<vault-name>.vault.azure.cn/secrets/ExamplePassword 获取当前版本。
若要以纯文本形式查看机密中包含的值,请使用 Azure CLI az keyvault secret show 命令:
az keyvault secret show --name "ExamplePassword" --vault-name "<vault-name>" --query "value"
现在,你已创建一个Key Vault,存储了一个机密,并检索了它。
清理资源
本系列中的其他快速入门和教程是在本快速入门的基础上制作的。 如果打算继续使用后续的快速入门和教程,则可能需要保留这些资源。
如果不再需要资源组和所有相关资源,可以使用 Azure CLI az group delete 命令删除资源组和所有相关资源:
az group delete --name "myResourceGroup"
后续步骤
在本快速入门中,你创建了一个Key Vault并存储了机密。 若要详细了解Key Vault以及如何将其与应用程序集成,请继续阅读以下文章。
- 查看 Azure Key Vault 概述
- 了解如何在 Key Vault 中存储多行机密
- 请参阅 Azure CLI az keyvault commands 的参考文档。
- 查看 Key Vault 安全概述
- 查看 特定于机密的安全最佳做法