Übung: Verwalten eines Kennworts in Azure Key Vault

Abgeschlossen

In dieser Übung fügen Sie ein Kennwort zu Azure Key Vault hinzu. Ein Kennwort ist ein Beispiel für eine vertrauliche Information, die geschützt werden muss. Anschließend werden Sie das Kennwort aus Azure Key Vault auslesen, um zu überprüfen, ob Zugriff darauf besteht.

In der Praxis gibt es mehrere Möglichkeiten, Geheimnisse hinzuzufügen und aus Key Vault auszulesen. Sie können dafür das Azure-Portal, die Azure CLI oder Azure PowerShell verwenden. Sie können auch Ihre bevorzugte Programmiersprache verwenden, damit Ihre Anwendungen sicher auf die benötigten Geheimnisse zugreifen können.

In dieser Lerneinheit erstellen Sie mithilfe des Azure-Portals ein Geheimnis in Key Vault. Anschließend greifen Sie über das Portal und die Azure CLI in Azure Cloud Shell auf das Geheimnis zu.

Die Azure CLI ist ein Tool, um über die Befehlszeile oder über Skripts mit Azure-Ressourcen zu arbeiten. Cloud Shell ist eine browserbasierte Shell zum Verwalten und Entwickeln von Azure-Ressourcen. Stellen Sie sich Cloud Shell als eine interaktive Konsole vor, die in der Cloud ausgeführt wird.

Erstellen eines Schlüsseltresors

  1. Öffnen Sie das Azure-Portal.

  2. Wählen Sie im Menü des Azure-Portals oder über die Startseite die Option Ressource erstellen aus.

  3. Geben Sie Key Vault in die Suchleiste ein, und wählen Sie Key Vault aus den Ergebnissen aus.

  4. Klicken Sie im Bereich Key Vault auf Erstellen. Der Bereich Schlüsseltresor erstellen wird angezeigt.

  5. Füllen Sie auf der Registerkarte Grundlagen die folgenden Felder für jede Einstellung aus.

    Hinweis

    Ersetzen Sie NNN durch eine Reihe von Zahlen. Dadurch wird sichergestellt, dass der Name Ihres Schlüsseltresors eindeutig ist.

    Einstellung Wert
    Projektdetails
    Subscription Concierge-Abonnement
    Ressourcengruppe [Name der Sandbox-Ressourcengruppe]
    Instanzendetails
    Name des Schlüsseltresors my-keyvault-NNN

    Behalten Sie für andere Einstellungen die Standardwerte bei.

  6. Klicken Sie auf Überprüfen + erstellen und nach Durchführung der Überprüfung auf Erstellen.

    Warten Sie, bis die Bereitstellung erfolgreich abgeschlossen wurden.

  7. Wählen Sie Zu Ressource wechseln aus.

  8. Sehen Sie sich einige Details zu Ihrem Schlüsseltresor genauer an.

    Im Feld Tresor-URI wird beispielsweise der URI angezeigt, mit dem Ihre Anwendung über die REST-API auf Ihren Tresor zugreifen kann.

    Nachstehend sehen Sie ein Beispiel für einen Schlüsseltresor namens my-keyvault-321:

    Screenshot: Azure-Portal mit den Details zu einem Schlüsseltresor. Felder wie die übergeordnete Ressourcengruppe, der Speicherort und der DNS-Name werden angezeigt.

  9. Untersuchen Sie als optionalen Schritt im linken Menübereich unter Einstellungen einige der anderen Features.

    Obwohl sie anfänglich leer sind, finden Sie hier die Orte, an denen Sie Schlüssel, Geheimnisse und Zertifikate speichern können.

    Hinweis

    Ihr Azure-Abonnement ist das einzige, das für den Zugriff auf diesen Tresor autorisiert ist. Unter Einstellungen ermöglicht Ihnen das Feature Zugriffsrichtlinien, den Zugriff auf den Tresor zu konfigurieren.

Hinzufügen eines Kennworts zum Schlüsseltresor

  1. Wählen Sie im linken Menübereich unter Einstellungen die Option Geheimnisse aus. Der Schlüsseltresorbereich wird angezeigt.

  2. Wählen Sie auf der oberen Menüleiste Generieren/importieren aus. Der Bereich Ein Geheimnis erstellen wird angezeigt.

  3. Füllen Sie die folgenden Werte für jede Einstellung aus.

    Einstellung Wert
    Uploadoptionen Manuell
    Name MyPassword
    Wert hVFkk96

    Behalten Sie für andere Einstellungen die Standardwerte bei. Beachten Sie, dass Sie Eigenschaften wie das Aktivierungs- und das Ablaufdatum selbst festlegen können. Sie können den Zugriff auf das Geheimnis auch deaktivieren.

  4. Klicken Sie auf Erstellen.

Anzeigen des Kennworts

Nun werden Sie über den Schlüsseltresor zweimal auf das Kennwort zugreifen. Zunächst greifen Sie über das Azure-Portal darauf zu. Anschließend greifen Sie über die Azure CLI darauf zu.

  1. Wählen Sie im Bereich Schlüsseltresor/Geheimnisse die Option MyPassword aus. Der Bereich MyPassword/Versionen wird angezeigt. Sie sehen, dass die aktuelle Version aktiviert ist.

  2. Wählen Sie die aktuelle Version aus. Der Bereich Geheimnisversion wird angezeigt.

    Unter Geheimnis-ID wird ein URI angezeigt, über den Sie nun mit Anwendungen auf das Geheimnis zugreifen können. Beachten Sie, dass nur autorisierte Anwendungen auf dieses Geheimnis zugreifen können.

  3. Klicken Sie auf Geheimniswert anzeigen.

    Screenshot: Geheimniswert im Schlüsseltresor im Azure-Portal.

  4. Führen Sie diesen Befehl in der Cloud Shell aus.

    Hinweis

    Ersetzen Sie <my-keyvault-NNN> durch den zuvor von Ihnen verwendeten Namen.

    az keyvault secret show \
      --name MyPassword \
      --vault-name <my-keyvault-NNN> \
      --query value \
      --output tsv
    

    Das Kennwort wird Ihnen in der Ausgabe angezeigt.

    hVFkk96
    

Gut gemacht! Sie verfügen nun über einen Schlüsseltresor, der ein Kennwortgeheimnis enthält, das sicher gespeichert ist und von Ihren Anwendungen verwendet werden kann.

Bereinigung

Die Sandbox bereinigt Ihre Ressourcen automatisch, wenn Sie dieses Modul abgeschlossen haben.

Wenn Sie in Ihrem eigenen Abonnement arbeiten, sollten Sie am Ende eines Projekts prüfen, ob Sie die Ressourcen, die Sie erstellt haben, noch benötigen. Ressourcen, die weiterhin ausgeführt werden, können Sie Geld kosten. Sie können einzelne Ressourcen oder die gesamte Ressourcengruppe mit allen darin enthaltenen Ressourcen löschen.