Ejercicio: Administración de una contraseña en Azure Key Vault

  • 5 minutos

En este ejercicio se agrega una contraseña a Azure Key Vault. Una contraseña es un ejemplo de información confidencial que se debe proteger. Luego se lee la contraseña desde Azure Key Vault para comprobar que es accesible.

En la práctica, hay varias maneras de agregar secretos y de leer secretos en Key Vault. Puede usar Azure Portal, la CLI de Azure o Azure PowerShell. Mediante el lenguaje de programación que prefiera, las aplicaciones también pueden acceder de forma segura a los secretos que necesiten.

En este caso se crea un secreto en Key Vault mediante Azure Portal. Luego se accede al secreto desde el portal y desde la CLI de Azure en Azure Cloud Shell.

La CLI de Azure es una manera de trabajar con recursos de Azure desde la línea de comandos o desde scripts. Cloud Shell es una experiencia de shell basada en el explorador para administrar y desarrollar recursos de Azure. Piense en Cloud Shell como una consola interactiva que se ejecuta en la nube.

Creación de un Almacén de claves

  1. Vaya a Azure Portal.

  2. En el menú de Azure Portal o la página Inicio, en Servicios de Azure, seleccione Crear un recurso. Aparecerá el panel Crear un recurso.

  3. En la barra de búsqueda, escriba Almacén de claves y, después, seleccione Almacén de claves en los resultados. Aparecerá el panel Almacén de claves.

  4. Seleccione Crear. Aparece el panel Crear almacén de claves.

  5. En la pestaña Aspectos básicos, escriba los valores siguientes para cada opción.

    Nota

    Reemplace NNN por una serie de números. Esto ayuda a garantizar que el nombre del almacén de claves sea único.

    Configuración

    Valor

    Detalles del proyecto

    Suscripción

    Suscripción de Concierge

    Grupo de recursos

    [nombre del grupo de recursos del espacio aislado]

    Detalles de instancia

    Nombre del almacén de claves

    my-keyvault-NNN, donde NNN es un identificador único

    Acepte las opciones restantes con sus valores predeterminados.

  6. Seleccione Revisar y crear y, una vez superada la validación, seleccione Crear.

    Espere a que la implementación se complete correctamente.

  7. Haga clic en Go to resource (Ir al recurso).

  8. Observe algunos detalles sobre el almacén de claves.

    Por ejemplo, en el campo Vault URI (URI del almacén) se muestra el URI que puede usar la aplicación para acceder al almacén desde la API de REST.

    Este es un ejemplo de un almacén de claves denominado my-keyvault-321: Captura de pantalla de Azure Portal en la que se muestran detalles sobre un almacén de claves. Se muestran campos como el grupo de recursos primario, la ubicación y el nombre DNS.

  9. Como paso opcional, puede examinar algunas de las otras características en Configuración, en el panel de menús de la izquierda.

    Aunque inicialmente están vacías, aquí encontrará ubicaciones donde puede almacenar claves, secretos y certificados.

    Nota

    La suscripción de Azure es la única que está autorizada a acceder a este almacén. En Configuración, la característica Directivas de acceso permite configurar el acceso al almacén.

Adición de una contraseña al almacén de claves

  1. En el panel de menús de la izquierda, en Configuración, seleccione Secretos. Aparecerá el panel del almacén de claves.

  2. En la barra de menús superior, seleccione Generar/Importar. Aparecerá el panel para crear un secreto.

  3. Rellene los siguientes valores para cada configuración.

    Configuración

    Valor

    Opciones de carga

    Manual

    Nombre

    MyPassword

    Value

    hVFkk96

    Acepte las opciones restantes con sus valores predeterminados. Tenga en cuenta que puede especificar propiedades como la fecha de activación y la de expiración. También puede deshabilitar el acceso al secreto.

  4. Seleccione Crear.

Mostrar la contraseña

Aquí se accede a la contraseña del almacén de claves dos veces. En primer lugar se accede desde Azure Portal. Luego se accede desde la CLI de Azure.

  1. En el panel Almacén de claves/Secretos, seleccione MyPassword. Aparecerá el panel MyPassword/Versiones. Se ve que la versión actual está habilitada.

  2. Seleccione la versión actual. Aparecerá el panel Versión del secreto.

    En Identificador secreto se ve un URI que ahora puede usar con las aplicaciones para acceder al secreto. Recuerde que solo las aplicaciones autorizadas pueden acceder a este secreto.

  3. Seleccione Mostrar valor secreto. Se muestra el valor único de esta versión de la contraseña.

    Captura de pantalla de Azure Portal en la que se muestra el valor secreto en el almacén de claves.

  4. Ejecute este comando en Cloud Shell.

    Nota

    Reemplace my-keyvault-NNN por el nombre que ha usado antes.

    az keyvault secret show \
    --name MyPassword \
    --vault-name my-keyvault-NNN \
    --query value \
    --output tsv

    Verá la contraseña en la salida.

    hVFkk96

¡Excelente trabajo! En este punto, tiene un almacén de claves que contiene un secreto de contraseña que se almacena de forma segura para su uso con las aplicaciones.

Limpieza

El espacio aislado limpia los recursos automáticamente cuando haya terminado con este módulo.

Al trabajar en una suscripción propia, se recomienda identificar al final de un proyecto si aún necesita los recursos creados. Los recursos que se dejan en ejecución pueden costarle mucho dinero. Puede eliminar los recursos de forma individual o eliminar el grupo de recursos para eliminar todo el conjunto de recursos.