Azure Key Vault Administration ügyfélkódtár JavaScripthez – 4.5.0-s verzió

Az Azure Key Vault Managed HSM egy teljes körűen felügyelt, magas rendelkezésre állású, egybérlős, szabványoknak megfelelő felhőszolgáltatás, amely lehetővé teszi a titkosítási kulcsok védelmét a felhőalkalmazások számára a FIPS 140-2 3. szintű ellenőrzött HSM-ekkel. Ha többet szeretne megtudni az Azure Key Vault Felügyelt HSM-ről, érdemes lehet áttekinteni a következőt: Mi az az Azure Key Vault managed HSM?

A csomag @azure/keyvault-admin támogatja az olyan felügyeleti Key Vault feladatokat, mint a teljes biztonsági mentés/ visszaállítás és a kulcsszintű szerepköralapú hozzáférés-vezérlés (RBAC).

Megjegyzés: Az adminisztrációs kódtár csak az Azure Key Vault felügyelt HSM-sel működik – a Key Vault célzó függvények sikertelenek lesznek.

Megjegyzés: Ez a csomag az Azure Key Vault szolgáltatás korlátozásai miatt nem használható a böngészőben. Útmutatásért tekintse meg ezt a dokumentumot.

Főbb hivatkozások:

• Forráskód
• Csomag (npm)
• API-referenciadokumentáció
• Termékdokumentáció
• Példák

Első lépések

A csomag telepítése

Telepítse az Azure Key Vault felügyeleti ügyfélkódtárat JavaScripthez és TypeScripthez az NPM használatával:

npm install @azure/keyvault-admin

TypeScript konfigurálása

A TypeScript-felhasználóknak telepítve kell lenniük a csomóponttípus-definícióknak:

npm install @types/node

A tsconfig.json is engedélyeznie compilerOptions.allowSyntheticDefaultImports kell. Vegye figyelembe, hogy ha engedélyeztecompilerOptions.esModuleInteropallowSyntheticDefaultImports, a alapértelmezés szerint engedélyezve van. További információt a TypeScript fordítóbeállítási kézikönyvében talál.

Jelenleg támogatott környezetek

• A Node.jsLTS-verziói

Előfeltételek

• Azure-előfizetés
• Egy meglévő Key Vault felügyelt HSM. Ha felügyelt HSM-et kell létrehoznia, ezt az Azure CLI használatával teheti meg a jelen dokumentumban található lépések végrehajtásával.

Az ügyfél hitelesítése

Az Azure Key Vault szolgáltatás használatához létre kell hoznia egy példányt az KeyVaultAccessControlClient osztályból vagy az KeyVaultBackupClient osztályból, valamint egy tároló URL-címét (amelyet "DNS-névnek" láthat az Azure Portalon) és egy hitelesítőadat-objektumot. Az ebben a dokumentumban bemutatott példák egy nevű hitelesítő objektumot DefaultAzureCredentialhasználnak, amely a legtöbb forgatókönyvhöz, beleértve a helyi fejlesztési és éles környezeteket is. Emellett azt javasoljuk, hogy felügyelt identitást használjon a hitelesítéshez éles környezetben.

A hitelesítés különböző módjairól és a hozzájuk tartozó hitelesítő adatok típusairól az Azure Identity dokumentációjában talál további információt.

KeyVaultAccessControlClient létrehozása

Ha a legmegfelelőbb hitelesítési módszerrel végzett hitelesítést, a konstruktorban a felügyelt HSM URL-címére helyettesítve az alábbiakat hozhatja létre KeyVaultAccessControlClient :

const { DefaultAzureCredential } = require("@azure/identity");
const { KeyVaultAccessControlClient } = require("@azure/keyvault-admin");

const credentials = new DefaultAzureCredential();

const client = new KeyVaultAccessControlClient(`<your Managed HSM URL>`, credentials);

KeyVaultBackupClient létrehozása

Ha a legmegfelelőbb hitelesítési módszerrel végzett hitelesítést, a konstruktorban a felügyelt HSM URL-címére helyettesítve az alábbiakat hozhatja létre KeyVaultBackupClient :

const { DefaultAzureCredential } = require("@azure/identity");
const { KeyVaultBackupClient } = require("@azure/keyvault-admin");

const credentials = new DefaultAzureCredential();

const client = new KeyVaultBackupClient(`<your Managed HSM URL>`, credentials);

Fő fogalmak

KeyVaultRoleDefinition

A szerepkör-definíció engedélyek gyűjteménye. A szerepkör-definíció határozza meg a végrehajtható műveleteket, például az olvasást, az írást és a törlést. Meghatározhatja az engedélyezett műveletekből kizárt műveleteket is.

A szerepkör-definíciók a részeként listázhatók és adhatók meg KeyVaultRoleAssignment.

KeyVaultRoleAssignment

A szerepkör-hozzárendelés a szerepkör-definíciók szolgáltatásnévhez való társítása. Ezek létrehozhatók, listázhatók, egyenként lekérhetők és törölhetők.

KeyVaultAccessControlClient

A KeyVaultAccessControlClient olyan műveleteket biztosít, amelyek lehetővé teszik a szerepkör-definíciók (példányai KeyVaultRoleDefinition) és a szerepkör-hozzárendelések (példányai KeyVaultRoleAssignment) kezelését.

KeyVaultBackupClient

Az A KeyVaultBackupClient teljes kulcsos biztonsági mentések, teljes kulcs-visszaállítások és szelektív kulcs-visszaállítások végrehajtásához biztosít műveleteket.

Hosszú ideig futó műveletek

Az által KeyVaultBackupClient végrehajtott műveletek az Azure-erőforrások által igényelt időt is igénybe vehetik, így az ügyfélrétegnek nyomon kell követnie, szerializálnia és folytatnia kell a műveleteket azoknak a programoknak az életciklusán keresztül, amelyek megvárják, amíg befejeződnek. Ez egy közös absztrakción keresztül történik a csomagon keresztül @azure/core-lro.

A KeyVaultBackupClient három olyan metódust kínál, amelyek hosszú ideig futó műveleteket hajtanak végre:

• beginBackup, megkezdi egy Azure Key Vault felügyelt HSM biztonsági másolatának létrehozását a megadott Storage Blob-fiókon.
• beginRestore, megkezdi az összes kulcsanyag visszaállítását a korábban tárolt Azure Blob Storage biztonsági mentési mappájára mutató SAS-jogkivonat használatával.
• beginSelectiveRestore, elindítja egy adott kulcs összes kulcsverziójának visszaállítását a felhasználó által megadott SAS-jogkivonat használatával, amely egy korábban tárolt Azure Blob Storage biztonsági mentési mappára mutat.

A hosszú ideig futó műveleteket elindító metódusok egy lekérdezést adnak vissza, amely lehetővé teszi, hogy határozatlan ideig várjon, amíg a művelet befejeződik. További információt az alábbi példákban talál.

Példák

JavaScript- és TypeScript-mintákkal is rendelkezünk, amelyek a csomag hozzáférés-vezérlési és biztonsági mentési/visszaállítási funkcióit mutatják be. A minták futtatásának részletes lépéseihez kövesse a megfelelő olvasási útmutatót.

• JavaScript-minták olvasása
• Readme typeScript-mintákhoz

Hibaelhárítás

A különböző hibaforgatókönyvek diagnosztizálásával kapcsolatos részletekért tekintse meg a hibaelhárítási útmutatónkat .

A naplózás engedélyezése hasznos információkat deríthet fel a hibákról. A HTTP-kérések és -válaszok naplójának megtekintéséhez állítsa a környezeti változót értékre AZURE_LOG_LEVELinfo. A naplózás futásidőben is engedélyezhető a következő hívásával setLogLevel@azure/logger:

const { setLogLevel } = require("@azure/logger");

setLogLevel("info");

Következő lépések

További kódmintákat az alábbi hivatkozásokon találhat:

• Key Vault felügyeleti minták (JavaScript)
• Key Vault felügyeleti minták (TypeScript)
• Key Vault felügyeleti tesztesetek

Közreműködés

Ha hozzá szeretne járulni ehhez a kódtárhoz, olvassa el a közreműködői útmutatót , amelyből többet is megtudhat a kód buildeléséhez és teszteléséhez.