Azure Key Vault Administration ügyfélkódtár JavaScripthez – 4.5.0-s verzió
Az Azure Key Vault Managed HSM egy teljes körűen felügyelt, magas rendelkezésre állású, egybérlős, szabványoknak megfelelő felhőszolgáltatás, amely lehetővé teszi a titkosítási kulcsok védelmét a felhőalkalmazások számára a FIPS 140-2 3. szintű ellenőrzött HSM-ekkel. Ha többet szeretne megtudni az Azure Key Vault Felügyelt HSM-ről, érdemes lehet áttekinteni a következőt: Mi az az Azure Key Vault managed HSM?
A csomag @azure/keyvault-admin
támogatja az olyan felügyeleti Key Vault feladatokat, mint a teljes biztonsági mentés/ visszaállítás és a kulcsszintű szerepköralapú hozzáférés-vezérlés (RBAC).
Megjegyzés: Az adminisztrációs kódtár csak az Azure Key Vault felügyelt HSM-sel működik – a Key Vault célzó függvények sikertelenek lesznek.
Megjegyzés: Ez a csomag az Azure Key Vault szolgáltatás korlátozásai miatt nem használható a böngészőben. Útmutatásért tekintse meg ezt a dokumentumot.
Főbb hivatkozások:
Első lépések
A csomag telepítése
Telepítse az Azure Key Vault felügyeleti ügyfélkódtárat JavaScripthez és TypeScripthez az NPM használatával:
npm install @azure/keyvault-admin
TypeScript konfigurálása
A TypeScript-felhasználóknak telepítve kell lenniük a csomóponttípus-definícióknak:
npm install @types/node
A tsconfig.json is engedélyeznie compilerOptions.allowSyntheticDefaultImports
kell. Vegye figyelembe, hogy ha engedélyeztecompilerOptions.esModuleInterop
allowSyntheticDefaultImports
, a alapértelmezés szerint engedélyezve van. További információt a TypeScript fordítóbeállítási kézikönyvében talál.
Jelenleg támogatott környezetek
Előfeltételek
- Azure-előfizetés
- Egy meglévő Key Vault felügyelt HSM. Ha felügyelt HSM-et kell létrehoznia, ezt az Azure CLI használatával teheti meg a jelen dokumentumban található lépések végrehajtásával.
Az ügyfél hitelesítése
Az Azure Key Vault szolgáltatás használatához létre kell hoznia egy példányt az KeyVaultAccessControlClient
osztályból vagy az KeyVaultBackupClient
osztályból, valamint egy tároló URL-címét (amelyet "DNS-névnek" láthat az Azure Portalon) és egy hitelesítőadat-objektumot. Az ebben a dokumentumban bemutatott példák egy nevű hitelesítő objektumot DefaultAzureCredential
használnak, amely a legtöbb forgatókönyvhöz, beleértve a helyi fejlesztési és éles környezeteket is. Emellett azt javasoljuk, hogy felügyelt identitást használjon a hitelesítéshez éles környezetben.
A hitelesítés különböző módjairól és a hozzájuk tartozó hitelesítő adatok típusairól az Azure Identity dokumentációjában talál további információt.
KeyVaultAccessControlClient létrehozása
Ha a legmegfelelőbb hitelesítési módszerrel végzett hitelesítést, a konstruktorban a felügyelt HSM URL-címére helyettesítve az alábbiakat hozhatja létre KeyVaultAccessControlClient
:
const { DefaultAzureCredential } = require("@azure/identity");
const { KeyVaultAccessControlClient } = require("@azure/keyvault-admin");
const credentials = new DefaultAzureCredential();
const client = new KeyVaultAccessControlClient(`<your Managed HSM URL>`, credentials);
KeyVaultBackupClient létrehozása
Ha a legmegfelelőbb hitelesítési módszerrel végzett hitelesítést, a konstruktorban a felügyelt HSM URL-címére helyettesítve az alábbiakat hozhatja létre KeyVaultBackupClient
:
const { DefaultAzureCredential } = require("@azure/identity");
const { KeyVaultBackupClient } = require("@azure/keyvault-admin");
const credentials = new DefaultAzureCredential();
const client = new KeyVaultBackupClient(`<your Managed HSM URL>`, credentials);
Fő fogalmak
KeyVaultRoleDefinition
A szerepkör-definíció engedélyek gyűjteménye. A szerepkör-definíció határozza meg a végrehajtható műveleteket, például az olvasást, az írást és a törlést. Meghatározhatja az engedélyezett műveletekből kizárt műveleteket is.
A szerepkör-definíciók a részeként listázhatók és adhatók meg KeyVaultRoleAssignment
.
KeyVaultRoleAssignment
A szerepkör-hozzárendelés a szerepkör-definíciók szolgáltatásnévhez való társítása. Ezek létrehozhatók, listázhatók, egyenként lekérhetők és törölhetők.
KeyVaultAccessControlClient
A KeyVaultAccessControlClient
olyan műveleteket biztosít, amelyek lehetővé teszik a szerepkör-definíciók (példányai KeyVaultRoleDefinition
) és a szerepkör-hozzárendelések (példányai KeyVaultRoleAssignment
) kezelését.
KeyVaultBackupClient
Az A KeyVaultBackupClient
teljes kulcsos biztonsági mentések, teljes kulcs-visszaállítások és szelektív kulcs-visszaállítások végrehajtásához biztosít műveleteket.
Hosszú ideig futó műveletek
Az által KeyVaultBackupClient
végrehajtott műveletek az Azure-erőforrások által igényelt időt is igénybe vehetik, így az ügyfélrétegnek nyomon kell követnie, szerializálnia és folytatnia kell a műveleteket azoknak a programoknak az életciklusán keresztül, amelyek megvárják, amíg befejeződnek. Ez egy közös absztrakción keresztül történik a csomagon keresztül @azure/core-lro.
A KeyVaultBackupClient
három olyan metódust kínál, amelyek hosszú ideig futó műveleteket hajtanak végre:
beginBackup
, megkezdi egy Azure Key Vault felügyelt HSM biztonsági másolatának létrehozását a megadott Storage Blob-fiókon.beginRestore
, megkezdi az összes kulcsanyag visszaállítását a korábban tárolt Azure Blob Storage biztonsági mentési mappájára mutató SAS-jogkivonat használatával.beginSelectiveRestore
, elindítja egy adott kulcs összes kulcsverziójának visszaállítását a felhasználó által megadott SAS-jogkivonat használatával, amely egy korábban tárolt Azure Blob Storage biztonsági mentési mappára mutat.
A hosszú ideig futó műveleteket elindító metódusok egy lekérdezést adnak vissza, amely lehetővé teszi, hogy határozatlan ideig várjon, amíg a művelet befejeződik. További információt az alábbi példákban talál.
Példák
JavaScript- és TypeScript-mintákkal is rendelkezünk, amelyek a csomag hozzáférés-vezérlési és biztonsági mentési/visszaállítási funkcióit mutatják be. A minták futtatásának részletes lépéseihez kövesse a megfelelő olvasási útmutatót.
Hibaelhárítás
A különböző hibaforgatókönyvek diagnosztizálásával kapcsolatos részletekért tekintse meg a hibaelhárítási útmutatónkat .
A naplózás engedélyezése hasznos információkat deríthet fel a hibákról. A HTTP-kérések és -válaszok naplójának megtekintéséhez állítsa a környezeti változót értékre AZURE_LOG_LEVEL
info
. A naplózás futásidőben is engedélyezhető a következő hívásával setLogLevel
@azure/logger
:
const { setLogLevel } = require("@azure/logger");
setLogLevel("info");
Következő lépések
További kódmintákat az alábbi hivatkozásokon találhat:
- Key Vault felügyeleti minták (JavaScript)
- Key Vault felügyeleti minták (TypeScript)
- Key Vault felügyeleti tesztesetek
Közreműködés
Ha hozzá szeretne járulni ehhez a kódtárhoz, olvassa el a közreműködői útmutatót , amelyből többet is megtudhat a kód buildeléséhez és teszteléséhez.
Azure SDK for JavaScript
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: