Ejercicio: Administración de una contraseña en Azure Key Vault

Completado

En este ejercicio se agrega una contraseña a Azure Key Vault. Una contraseña es un ejemplo de información confidencial que se debe proteger. Luego se lee la contraseña desde Azure Key Vault para comprobar que es accesible.

En la práctica, hay varias maneras de agregar secretos y de leer secretos en Key Vault. Puede usar Azure Portal, la CLI de Azure o Azure PowerShell. Mediante el lenguaje de programación que prefiera, las aplicaciones también pueden acceder de forma segura a los secretos que necesiten.

En este caso se crea un secreto en Key Vault mediante Azure Portal. Luego se accede al secreto desde el portal y desde la CLI de Azure en Azure Cloud Shell.

La CLI de Azure es una manera de trabajar con recursos de Azure desde la línea de comandos o desde scripts. Cloud Shell es una experiencia de shell basada en el explorador para administrar y desarrollar recursos de Azure. Piense en Cloud Shell como una consola interactiva que se ejecuta en la nube.

Creación de un Almacén de claves

  1. Vaya a Azure Portal.

  2. En el menú de Azure Portal o en la página de Inicio, seleccione Crear un recurso.

  3. En la barra de búsqueda, escriba Almacén de claves y, después, seleccione Almacén de claves en los resultados.

  4. En el panel Almacén de claves, seleccione Crear. Aparece el panel para crear el almacén de claves.

  5. En la pestaña Datos básicos, rellene los valores siguientes para cada parámetro.

    Nota

    Reemplace NNN por una serie de números. Esto ayuda a garantizar que el nombre del almacén de claves sea único.

    Setting Value
    Detalles del proyecto
    Suscripción Suscripción de Concierge
    Grupo de recursos [nombre del grupo de recursos del espacio aislado]
    Detalles de instancia
    Nombre del almacén de claves my-keyvault-NNN

    Deje las otras opciones de configuración con sus valores predeterminados.

  6. Seleccione Revisar y crear y, una vez superada la validación, seleccione Crear.

    Espere a que la implementación se complete correctamente.

  7. Haga clic en Go to resource (Ir al recurso).

  8. Observe algunos detalles sobre el almacén de claves.

    Por ejemplo, en el campo Vault URI (URI del almacén) se muestra el URI que puede usar la aplicación para acceder al almacén desde la API de REST.

    Este es un ejemplo de un almacén de claves denominado my-keyvault-321:

    Captura de pantalla de Azure Portal que muestra detalles sobre un almacén de claves. Se muestran campos como el grupo de recursos primario, la ubicación y el nombre DNS.

  9. Como paso opcional, puede examinar algunas de las otras características en Configuración, en el panel de menús de la izquierda.

    Aunque inicialmente están vacías, aquí encontrará ubicaciones donde puede almacenar claves, secretos y certificados.

    Nota

    La suscripción de Azure es la única que está autorizada a acceder a este almacén. En Configuración, la característica Directivas de acceso permite configurar el acceso al almacén.

Adición de una contraseña al almacén de claves

  1. En el panel de menús de la izquierda, en Configuración, seleccione Secretos. Aparecerá el panel del almacén de claves.

  2. En la barra de menús superior, seleccione Generar/Importar. Aparecerá el panel para crear un secreto.

  3. Rellene los siguientes valores para cada configuración.

    Configuración Value
    Opciones de carga Manual
    Nombre MyPassword
    Value hVFkk96

    Deje las otras opciones de configuración con sus valores predeterminados. Tenga en cuenta que puede especificar propiedades como la fecha de activación y la de expiración. También puede deshabilitar el acceso al secreto.

  4. Seleccione Crear.

Mostrar la contraseña

Aquí se accede a la contraseña del almacén de claves dos veces. En primer lugar se accede desde Azure Portal. Luego se accede desde la CLI de Azure.

  1. En el panel Almacén de claves/Secretos, seleccione MyPassword. Aparecerá el panel MyPassword/Versiones. Se ve que la versión actual está habilitada.

  2. Seleccione la versión actual. Aparecerá el panel Versión del secreto.

    En Identificador secreto se ve un URI que ahora puede usar con las aplicaciones para acceder al secreto. Recuerde que solo las aplicaciones autorizadas pueden acceder a este secreto.

  3. Seleccione Mostrar valor secreto.

    Captura de pantalla de Azure Portal en la que se muestra el valor secreto en el almacén de claves.

  4. Ejecute este comando en Cloud Shell.

    Nota

    Si no está familiarizado con la CLI de Azure, simplemente continúe.

    az keyvault secret show \
      --name MyPassword \
      --vault-name $(az keyvault list --query [0].name --output tsv) \
      --query value \
      --output tsv
    

    Verá la contraseña en la salida.

    hVFkk96
    

¡Excelente trabajo! En este punto, tiene un almacén de claves que contiene un secreto de contraseña que se almacena de forma segura para su uso con las aplicaciones.

Limpieza

El espacio aislado limpia los recursos automáticamente cuando haya terminado con este módulo.

Al trabajar en una suscripción propia, se recomienda identificar al final de un proyecto si aún necesita los recursos creados. Los recursos que se dejan en ejecución pueden costarle mucho dinero. Puede eliminar los recursos de forma individual o eliminar el grupo de recursos para eliminar todo el conjunto de recursos.