Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Key Vault anahtarları, gizli dizileri ve API anahtarları ve veritabanı bağlantı dizeleri gibi sertifikaları korumanıza yardımcı olur.
Bu öğreticide, Azure kaynakları için yönetilen bir kimlik kullanarak Azure Key Vault’tan bilgi okumak üzere bir Python uygulaması ayarlarsınız. Şunları yapmayı öğreneceksiniz:
- Anahtar kasası oluştur
- Gizli bir bilgiyi Key Vault'ta depolama
- Azure Linux sanal makinesi oluşturma
- Sanal makine için yönetilen kimliği etkinleştirme
- Konsol uygulamasının Key Vault verilerini okuması için gerekli izinleri verme
- Key Vault'tan bir gizli almak
Başlamadan önce Key Vault temel kavramları okuyun.
Azure aboneliğiniz yoksa free hesabı oluşturun.
Önkoşullar
Windows, Mac ve Linux için:
- Git
-
Azure CLI'nin geçerli bir sürümü. Yüklü sürümü denetlemek için komutunu çalıştırın
az --version.
Azure'a Giriş Yap
Azure CLI ile Azure'da oturum açın:
az login
Bir kaynak grubu ve anahtar kasası oluşturun
Bu hızlı başlangıç kılavuzunda önceden oluşturulmuş bir Azure anahtar kasası kullanılır. Bu hızlı başlangıçlarda yer alan adımları izleyerek bir anahtar kasası oluşturabilirsiniz:
Alternatif olarak, bu Azure CLI veya Azure PowerShell komutlarını çalıştırabilirsiniz.
Önemli
Her anahtar kasasının benzersiz bir adı olmalıdır. Aşağıdaki örneklerde <vault-name>'yi anahtar kasanızın adıyla değiştirin.
az group create --name "myResourceGroup" -l "EastUS"
az keyvault create --name "<vault-name>" -g "myResourceGroup" --enable-rbac-authorization true
Anahtar kasanızı gizli diziyle doldurma
Şimdi mySecret adlı ve Success! değerine sahip bir gizli anahtar oluşturalım. Gizli bir bilgi, bir parola, SQL bağlantı dizesi veya hem güvenli hem de uygulamanızın kullanımına açık tutmanız gereken diğer bilgiler olabilir.
Yeni oluşturduğunuz anahtar kasanıza bir gizli eklemek için aşağıdaki komutu kullanın:
az keyvault secret set --vault-name "<vault-name>" --name "mySecret" --value "Success!"
Sanal makine oluşturun
Aşağıdaki yöntemlerden birini kullanarak myVM adlı bir VM oluşturun:
| Linux | Windows |
|---|---|
| Azure CLI | Azure CLI |
| PowerShell | PowerShell |
| Azure portalı | Azure portalı |
Azure CLI kullanarak Linux VM oluşturmak için az vm create komutunu kullanın. Aşağıdaki örnek azureuser adlı bir kullanıcı hesabı ekler.
--generate-ssh-keys parametresi otomatik olarak bir SSH anahtarı oluşturmak ve bunu varsayılan anahtar konumuna (~/.ssh) yerleştirmek için kullanılır.
az vm create \
--resource-group <resource-group> \
--name myVM \
--image Ubuntu2204 \
--admin-username azureuser \
--generate-ssh-keys
Çıktıdaki publicIpAddress değerini not edin.
VM'ye kimlik atayın
az vm identity assign komutunu kullanarak VM için sistem tarafından atanan bir yönetilen kimlik oluşturun:
az vm identity assign --name "myVM" --resource-group "<resource-group>"
Çıkışta sistem tarafından atanan kimliği not edin:
{
"systemAssignedIdentity": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"userAssignedIdentities": {}
}
VM kimliğine izin atama
Role-Based Access Control (RBAC) aracılığıyla anahtar kasanıza izinler almak için Azure CLI komutunu az role assignment create kullanarak "Kullanıcı Asıl Adı"na (UPN) bir rol atayın.
az role assignment create --role "Key Vault Secrets User" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/<vault-name>"
, <upn>ve <subscription-id> değerlerini gerçek değerlerinizle değiştirin<vault-name>. Eğer farklı bir kaynak grubu adı kullandıysanız, "myResourceGroup" yerine bunu koyun. UPN'niz genellikle bir e-posta adresi biçiminde olur (ör. username@domain.com).
VM'de oturum açma
VM'de oturum açmak için Linux çalıştıran bir Azure sanal makinesine bağlanma ve oturum açma veya Bağlan ve Windows çalıştıran Azure bir sanal makinede oturum açma başlığı altındaki yönergeleri izleyin.
Bir Linux VM’de oturum açmak için, Sanal makine oluşturma adımındaki <public-ip-address> ile ssh kullanın:
ssh azureuser@<public-ip-address>
VM'ye Python kitaplıkları yükleme
VM'de, örnek betiğin kullandığı iki Python kitaplığını yükleyin: azure-keyvault-secrets ve azure-identity.
Linux VM’de bunları pip3 ile yükleyin:
pip3 install azure-keyvault-secrets azure-identity
Örnek Python betiğini oluşturma ve düzenleme
VM'de adlı sample.pybir Python dosyası oluşturun. Aşağıdaki kodu, <vault-name> öğesini anahtar kasanızın adıyla değiştirerek dosyaya yapıştırın:
from azure.keyvault.secrets import SecretClient
from azure.identity import DefaultAzureCredential
key_vault_name = "<vault-name>"
key_vault_uri = f"https://{key_vault_name}.vault.azure.net"
secret_name = "mySecret"
credential = DefaultAzureCredential()
client = SecretClient(vault_url=key_vault_uri, credential=credential)
retrieved_secret = client.get_secret(secret_name)
print(f"The value of secret '{secret_name}' in '{key_vault_name}' is: '{retrieved_secret.value}'")
Örnek Python uygulamasını çalıştırma
sample.py'i çalıştırın. Her şey doğru yapılandırılmışsa uygulama gizli değeri yazdırır:
python3 sample.py
The value of secret 'mySecret' in '<vault-name>' is: 'Success!'
Kaynakları temizle
Artık ihtiyacınız kalmadığında VM'yi ve anahtar kasasını silin. En hızlı yol, ait oldukları kaynak grubunu silmektir:
az group delete -g "myResourceGroup"