Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Key Vault je cloudová služba, která funguje jako zabezpečené úložiště tajných kódů. Můžete bezpečně ukládat klíče, hesla, certifikáty a další tajné klíče. Další informace o službě Key Vault najdete v tématu Přehled. V tomto rychlém startu pomocí Azure PowerShellu vytvoříte trezor klíčů. Do nově vytvořeného trezoru pak uložíte tajný klíč.
Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
Azure Cloud Shell
Azure hostí interaktivní prostředí Azure Cloud Shell, které můžete používat v prohlížeči. Pro práci se službami Azure můžete v prostředí Cloud Shell použít buď Bash, nebo PowerShell. Předinstalované příkazy Cloud Shellu můžete použít ke spuštění kódu v tomto článku, aniž byste museli instalovat cokoli do místního prostředí.
Spuštění služby Azure Cloud Shell:
| Možnost | Příklad nebo odkaz |
|---|---|
| Vyberte Vyzkoušet v pravém horním rohu bloku kódu nebo příkazu. Výběrem možnosti Vyzkoušet se kód ani příkaz automaticky nekopíruje do Cloud Shellu. |
|
| Přejděte na adresu https://shell.azure.com nebo výběrem tlačítka Spustit Cloud Shell otevřete Cloud Shell v prohlížeči. |
|
| Zvolte tlačítko Cloud Shell v pruhu nabídky v pravém horním rohu webu Azure Portal. |
|
Použití Azure Cloud Shellu:
Spusťte Cloud Shell.
Výběrem tlačítka Kopírovat v bloku kódu (nebo bloku příkazů) zkopírujte kód nebo příkaz.
Vložte kód nebo příkaz do relace Cloud Shell výběrem kláves Ctrl+Shift+V na Windows a Linuxu, nebo Cmd+Shift+V na macOS.
Stisknutím klávesy Enter spusťte kód nebo příkaz.
Pokud se rozhodnete nainstalovat a používat PowerShell místně, tento kurz vyžaduje modul Azure PowerShell verze 5.0.0 nebo novější. Zadáním Get-InstalledModule -Name Az vyhledejte verzi. Pokud potřebujete upgradovat, přečtěte si, jak nainstalovat Azure PowerShell. Pokud používáte PowerShell místně, je také potřeba spustit příkaz Connect-AzAccount pro vytvoření připojení k Azure.
Connect-AzAccount
Vytvoření skupiny zdrojů
Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure. Pomocí rutiny Azure PowerShell New-AzResourceGroup vytvořte skupinu prostředků pojmenovanou myResourceGroup v lokalitě eastus.
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Vytvořte trezor klíčů.
Pomocí rutiny Azure PowerShell New-AzKeyVault vytvořte trezor klíčů ve skupině prostředků z předchozího kroku. Potřebujete zadat některé informace:
Název trezoru klíčů: Řetězec 3 až 24 znaků, který může obsahovat pouze čísla (0–9), písmena (a-z, A-Z) a pomlčky (-)
Důležité
Každý trezor klíčů musí mít jedinečný název. Nahraďte
<vault-name>názvem trezoru klíčů v následujících příkladech.Název skupiny prostředků: "myResourceGroup"
Umístění: EastUS
New-AzKeyVault -Name "<vault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS" -EnableRbacAuthorization $true -EnablePurgeProtection
Poznámka:
Ochrana před vymazáním je osvědčeným postupem zabezpečení Key Vault.
Výstup této rutiny zobrazuje vlastnosti nově vytvořeného trezoru klíčů. Poznamenejte si tyto dvě vlastnosti:
- Název trezoru: Název, který jste zadali parametru -Name.
-
Identifikátor URI trezoru: V tomto příkladu je
https://<vault-name>.vault.azure.net/identifikátor URI trezoru . Aplikace, které používají váš trezor prostřednictvím REST API musí používat tento identifikátor URI.
V tuto chvíli je váš účet Azure jediným účtem s oprávněním provádět jakékoli operace s tímto novým trezorem.
Udělení oprávnění uživatelského účtu ke správě tajných kódů ve službě Key Vault
Pokud chcete získat oprávnění k trezoru klíčů prostřednictvím řízení přístupu na základě role (RBAC), přiřaďte roli k hlavnímu názvu uživatele (UPN) pomocí rutiny Azure PowerShell New-AzRoleAssignment.
New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Secrets Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/<vault-name>"
Nahraďte hodnoty <upn>, <subscription-id> a <vault-name> skutečnými hodnotami. Pokud jste použili jiný název skupiny prostředků, nahraďte také myResourceGroup. Hlavní název uživatele (UPN) bude obvykle v formátu e-mailové adresy (např. username@domain.com).
Přidání tajemství do služby Key Vault
Pokud chcete do trezoru přidat tajný klíč, stačí provést několik kroků. V tomto případě přidáte heslo, které může používat aplikace. Heslo se nazývá ExamplePassword a ukládá do něj hodnotu hVFkk965BuUv .
Nejprve spusťte následující příkaz a po zobrazení výzvy k převodu na zabezpečený řetězec zadejte hodnotu hVFkk965BuUv :
$secretvalue = Read-Host -Prompt 'Enter the example password' -AsSecureString
Potom pomocí rutiny Azure PowerShell Set-AzKeyVaultSecret vytvořte tajný kód ve službě Key Vault s názvem ExamplePassword s hodnotou hVFkk965BuUv :
$secret = Set-AzKeyVaultSecret -VaultName "<vault-name>" -Name "ExamplePassword" -SecretValue $secretvalue
Načtení tajného klíče ze služby Key Vault
Pokud chcete zobrazit hodnotu obsaženou v tajném kódu jako prostý text, použijte rutinu Azure PowerShell Get-AzKeyVaultSecret :
$secret = Get-AzKeyVaultSecret -VaultName "<vault-name>" -Name "ExamplePassword" -AsPlainText
Právě jste vytvořili službu Key Vault, uložili jste tajný klíč a načetli jste ho.
Vyčištění prostředků
Další rychlé starty a kurzy v této kolekci vycházejí z tohoto rychlého startu. Pokud chcete pokračovat v práci s dalšími rychlými úvody a kurzy, může se vám hodit tyto prostředky zachovat.
Pokud už je nepotřebujete, můžete k odebrání skupiny prostředků, služby Key Vault a všech souvisejících prostředků použít příkaz Remove-AzResourceGroup .
Remove-AzResourceGroup -Name "myResourceGroup"
Poznámka:
Odstraněním skupiny prostředků dojde také k odstranění trezoru klíčů, ale trezor pak přejde do stavu obnovitelného odstranění a zůstane obnovitelný po dobu uchovávání (ve výchozím nastavení je to 90 dnů). Název trezoru zůstává během tohoto období rezervovaný globálně a protože je povolená ochrana před vymazáním, trezor se nedá vyprázdnit včas. U standardních trezorů klíčů se za trezory odstraněné pomocí obnovitelného odstranění neúčtují žádné poplatky. Další informace najdete v článku Přehled obnovitelného odstranění ve službě Key Vault.
Další kroky
V tomto rychlém startu jste vytvořili službu Key Vault a uložili jste do ní tajný kód. Další informace o službě Key Vault a její integraci s vašimi aplikacemi najdete v následujících článcích.
- Přehled služby Azure Key Vault
- Informace o ukládání víceřádkových tajných kódů ve službě Key Vault
- Informace o rutinách služby Azure PowerShell Key Vault najdete v referenčních informacích.
- Přehled zabezpečení služby Key Vault
- Kontrola osvědčených postupů zabezpečení specifických pro tajné kódy