Schnellstart: Azure Key Vault-Schlüsselclientbibliothek für Python

  • Artikel

Hier finden Sie Informationen zu den ersten Schritten mit der Azure Key Vault-Clientbibliothek für Python. Führen Sie die nachfolgenden Schritte aus, um das Paket zu installieren und den Beispielcode für grundlegende Aufgaben zu testen. Wenn Sie Key Vault zum Speichern von Kryptografieschlüsseln verwenden, vermeiden Sie das Speichern solcher Schlüssel im Code, was die Sicherheit Ihrer App erhöht.

API-Referenzdokumentation | Quellcode der Bibliothek | Paket (Python-Paketindex)

Voraussetzungen

In diesem Schnellstart wird davon ausgegangen, dass Sie die Azure CLI oder Azure PowerShell in einem Linux-Terminalfenster ausführen.

Einrichten Ihrer lokalen Umgebung

In dieser Schnellstartanleitung wird die Azure Identity-Bibliothek mit Azure CLI oder Azure PowerShell verwendet, um den Benutzer bei Azure-Diensten zu authentifizieren. Entwickler können auch Visual Studio oder Visual Studio Code verwenden, um ihre Aufrufe zu authentifizieren. Weitere Informationen finden Sie unter Authentifizieren des Clients mit der Azure Identity-Clientbibliothek.

Anmelden bei Azure

  1. Führen Sie den Befehl login aus.

    az login

    Die CLI öffnet Ihren Standardbrowser, sofern sie dazu in der Lage ist, und lädt eine Azure-Anmeldeseite.

    Öffnen Sie andernfalls die Browserseite https://aka.ms/devicelogin, und geben Sie den in Ihrem Terminal angezeigten Autorisierungscode ein.

  2. Melden Sie sich im Browser mit Ihren Anmeldeinformationen an.

Installieren der Pakete

  1. Erstellen Sie in einem Terminal oder an einer Eingabeaufforderung einen geeigneten Projektordner, und erstellen und aktivieren Sie dann eine virtuelle Python-Umgebung, wie unter Verwenden von virtuellen Python-Umgebungen beschrieben.

  2. Installieren Sie die Microsoft Entra Identity-Bibliothek:

    pip install azure-identity

  3. Installieren der Key Vault-Schlüsselclientbibliothek:

    pip install azure-keyvault-keys

Erstellen einer Ressourcengruppe und eines Schlüsseltresors

  1. Verwenden Sie den Befehl az group create, um eine Ressourcengruppe zu erstellen:

    az group create --name myResourceGroup --location eastus

    Falls gewünscht, können Sie „eastus“ in eine Region ändern, die näher an Ihrem Standort liegt.

  2. Verwenden Sie az keyvault create, um den Schlüsseltresor zu erstellen:

    az keyvault create --name <your-unique-keyvault-name> --resource-group myResourceGroup

    Ersetzen Sie <your-unique-keyvault-name> durch einen Namen, der innerhalb von Azure eindeutig ist. In der Regel verwenden Sie Ihren persönlichen oder Firmennamen zusammen mit Ziffern und anderen Bezeichnern.

Festlegen der Umgebungsvariablen KEY_VAULT_NAME

Unser Skript verwendet den der Umgebungsvariablen KEY_VAULT_NAME zugewiesenen Wert als Namen des Schlüsseltresors. Sie müssen diesen Wert daher mit dem folgenden Befehl festlegen:

export KEY_VAULT_NAME=<your-unique-keyvault-name>

Gewähren des Zugriffs auf Ihren Schlüsseltresor

Um Ihrem Schlüsseltresor über die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) Berechtigungen für Ihre Anwendung zu gewähren, weisen Sie mithilfe des Azure CLI-Befehls az role assignment create eine Rolle zu.

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Ersetzen Sie <app-id>, <subscription-id>, <resource-group-name> und <your-unique-keyvault-name> durch Ihre tatsächlichen Werte. <app-id> ist die Anwendungs-ID (Client-ID) Ihrer registrierten Anwendung in Azure AD.

Erstellen des Beispielcodes

Mit der Azure Key Vault-Schlüsselclientbibliothek für Python können Sie kryptografische Schlüssel verwalten. Im folgenden Codebeispiel wird gezeigt, wie Sie einen Client erstellen und einen Schlüssel festlegen, abrufen und löschen.

Erstellen Sie eine Datei mit dem Namen kv_keys.py, die diesen Code enthält.

import os
from azure.keyvault.keys import KeyClient
from azure.identity import DefaultAzureCredential

keyVaultName = os.environ["KEY_VAULT_NAME"]
KVUri = "https://" + keyVaultName + ".vault.azure.net"

credential = DefaultAzureCredential()
client = KeyClient(vault_url=KVUri, credential=credential)

keyName = input("Input a name for your key > ")

print(f"Creating a key in {keyVaultName} called '{keyName}' ...")

rsa_key = client.create_rsa_key(keyName, size=2048)

print(" done.")

print(f"Retrieving your key from {keyVaultName}.")

retrieved_key = client.get_key(keyName)

print(f"Key with name '{retrieved_key.name}' was found.")
print(f"Deleting your key from {keyVaultName} ...")

poller = client.begin_delete_key(keyName)
deleted_key = poller.result()

print(" done.")

Ausführen des Codes

Stellen Sie sicher, dass sich der Code aus dem vorherigen Abschnitt in einer Datei namens kv_keys.py befindet. Führen Sie den Code dann mithilfe des folgenden Befehls aus:

python kv_keys.py

Wenn Sie den Code mit demselben Schlüsselnamen erneut ausführen, kann die Fehlermeldung „(Konflikt) Schlüssel <Name> befindet sich derzeit in einem gelöschten, aber wiederherstellbaren Zustand“ erscheinen. Verwenden Sie einen anderen Schlüsselnamen.

Codedetails

Authentifizieren und Erstellen eines Clients

Anwendungsanforderungen an die meisten Azure-Dienste müssen autorisiert werden. Die Verwendung der von der Azure Identity-Clientbibliothek bereitgestellten Klasse DefaultAzureCredential ist der empfohlene Ansatz zum Implementieren von kennwortlosen Verbindungen mit Azure-Diensten in Ihrem Code. DefaultAzureCredential unterstützt mehrere Authentifizierungsmethoden und bestimmt, welche Methode zur Laufzeit verwendet werden soll. Bei diesem Ansatz kann Ihre App unterschiedliche Authentifizierungsmethoden in verschiedenen Umgebungen (lokal gegenüber Produktion) verwenden, ohne umgebungsspezifischen Code zu implementieren.

In dieser Schnellstartanleitung authentifiziert sich DefaultAzureCredential mit den Anmeldeinformationen des lokalen Entwicklungsbenutzers, der bei der Azure CLI angemeldet ist, beim Schlüsseltresor. Wenn die Anwendung in Azure bereitgestellt wird, kann derselbe DefaultAzureCredential-Code automatisch eine verwaltete Identität ermitteln und verwenden, die App Service, einem virtuellen Computer oder anderen Diensten zugewiesen ist. Weitere Informationen finden Sie in der Übersicht zu verwalteten Identitäten.

Im folgenden Beispiel wird der Name Ihres Schlüsseltresors mit dem Wert der Variable KVUri in den Schlüsseltresor-URI mit dem Format „https://<Ihr-Schlüsseltresorname>.vault.azure.net“ erweitert.

credential = DefaultAzureCredential()
client = KeyClient(vault_url=KVUri, credential=credential)

Speichern eines Schlüssels

Nachdem Sie das Clientobjekt für den Schlüsseltresor abgerufen haben, können Sie einen Schlüssel mithilfe der create_rsa_key-Methode speichern:

rsa_key = client.create_rsa_key(keyName, size=2048)

Sie können auch create_key oder create_ec_key verwenden.

Beim Aufrufen einer create-Methode wird ein Aufruf der Azure-REST-API für den Schlüsseltresor generiert.

Wenn Azure die Anforderung bearbeitet, authentifiziert Azure die Identität des Aufrufers (Dienstprinzipal) mithilfe des Anmeldeinformationen-Objekts, das Sie für den Client bereitgestellt haben.

Abrufen eines Schlüssels

Um einen Schlüssel aus Key Vault zu lesen, verwenden Sie die get_Key-Methode:

retrieved_key = client.get_key(keyName)

Sie können auch mit dem Azure CLI-Befehl az keyvault key show oder dem Azure PowerShell-Cmdlet Get-AzKeyVaultKey überprüfen, ob der Schlüssel festgelegt wurde.

Löschen eines Schlüssels

Verwenden Sie die begin_delete_key-Methode, um einen Schlüssel zu löschen:

poller = client.begin_delete_key(keyName)
deleted_key = poller.result()

Die begin_delete_key-Methode ist asynchron und gibt ein Pollerobjekt zurück. Wenn die result-Methode des Pollers aufgerufen wird, wird auf ihren Abschluss gewartet.

Sie können mit dem Azure CLI-Befehl az keyvault key show oder dem Azure PowerShell-Cmdlet Get-AzKeyVaultKey überprüfen, ob der Schlüssel gelöscht wurde.

Nach dem Löschen verbleibt ein Schlüssel für einen bestimmten Zeitraum in einem gelöschten, aber wiederherstellbaren Zustand. Wenn Sie den Code erneut ausführen, verwenden Sie einen anderen Schlüsselnamen.

Bereinigen von Ressourcen

Wenn Sie auch mit Zertifikaten und Geheimnissen experimentieren möchten, können Sie den in diesem Artikel erstellten Key Vault wiederverwenden.

Verwenden Sie andernfalls den folgenden Befehl, um die Ressourcengruppe und alle darin enthaltenen Ressourcen zu löschen, wenn Sie mit die in diesem Artikel erstellten Ressourcen nicht mehr benötigen:

az group delete --resource-group myResourceGroup

Nächste Schritte