Mulai Cepat: Pustaka klien kunci Azure Key Vault untuk Python

  • Artikel

Mulai menggunakan pustaka klien Azure Key Vault untuk Python. Ikuti langkah-langkah berikut untuk menginstal paket dan mencoba contoh kode untuk tugas dasar. Dengan menggunakan Key Vault untuk kunci kriptografi, Anda menghindari penyimpanan kunci dalam kode yang meningkatkan keamanan aplikasi Anda.

Dokumentasi referensi API | Kode sumber pustaka | Paket (Indeks Paket Python)

Prasyarat

Mulai cepat ini menganggap bahwa Anda menjalankan Azure CLI atau Azure PowerShell di jendela terminal Linux.

Siapkan lingkungan lokal Anda

Mulai cepat ini menggunakan pustaka Azure Identity dengan Azure CLI atau Azure PowerShell untuk mengautentikasi pengguna ke layanan Azure. Pengembang juga dapat menggunakan Visual Studio atau Visual Studio Code untuk mengautentikasi panggilan. Untuk informasi selengkapnya, lihat Mengautentikasi klien dengan pustaka klien Azure Identity.

Masuk ke Azure

  1. Jalankan perintah login.

    az login

    Jika CLI dapat membuka browser default Anda, CLI akan melakukannya dan memuat halaman masuk Azure.

    Jika tidak, buka halaman browser di https://aka.ms/devicelogin dan masukkan kode otorisasi yang ditampilkan di terminal Anda.

  2. Masuk menggunakan kredensial akun Anda di browser.

Menginstal paket

  1. Di terminal atau prompt perintah, buat folder proyek yang sesuai, lalu buat dan aktifkan lingkungan virtual Python seperti yang dijelaskan di Menggunakan lingkungan virtual Python.

  2. Instal pustaka identitas Microsoft Entra:

    pip install azure-identity

  3. Instal pustaka klien kunci Key Vault:

    pip install azure-keyvault-keys

Buat grup sumber daya dan brankas kunci

  1. Gunakan perintah az group create untuk membuat grup sumber daya:

    az group create --name myResourceGroup --location eastus

    Anda dapat mengubah "eastus" ke lokasi yang lebih dekat dengan Anda, jika Anda mau.

  2. Gunakan az keyvault create untuk membuat brankas kunci:

    az keyvault create --name <your-unique-keyvault-name> --resource-group myResourceGroup

    Ganti <your-unique-keyvault-name> dengan nama yang unik di seluruh Azure. Anda biasanya menggunakan nama pribadi atau perusahaan bersama dengan nomor dan pengidentifikasi lain.

Atur variabel lingkungan KEY_VAULT_NAME

Skrip kami akan menggunakan nilai yang ditetapkan ke KEY_VAULT_NAME variabel lingkungan sebagai nama brankas kunci. Oleh karena itu Anda harus mengatur nilai ini menggunakan perintah berikut:

export KEY_VAULT_NAME=<your-unique-keyvault-name>

Memberikan akses ke brankas kunci Anda

Untuk memberikan izin aplikasi Anda ke brankas kunci Anda melalui Kontrol Akses Berbasis Peran (RBAC), tetapkan peran menggunakan perintah Azure CLI az role assignment create.

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Ganti <app-id>, <subscription-id>, <resource-group-name> , dan <your-unique-keyvault-name> dengan nilai aktual Anda. <app-id> adalah ID Aplikasi (klien) dari aplikasi terdaftar Anda di Azure AD.

Membuat kode sampel

Pustaka klien kunci Azure Key Vault untuk Python memungkinkan Anda mengelola kunci kriptografi. Sampel kode di bawah ini menunjukkan cara membuat klien, mengatur, mengambil, dan menghapus kunci.

Buat file bernama kv_keys.py yang berisi kode ini.

import os
from azure.keyvault.keys import KeyClient
from azure.identity import DefaultAzureCredential

keyVaultName = os.environ["KEY_VAULT_NAME"]
KVUri = "https://" + keyVaultName + ".vault.azure.net"

credential = DefaultAzureCredential()
client = KeyClient(vault_url=KVUri, credential=credential)

keyName = input("Input a name for your key > ")

print(f"Creating a key in {keyVaultName} called '{keyName}' ...")

rsa_key = client.create_rsa_key(keyName, size=2048)

print(" done.")

print(f"Retrieving your key from {keyVaultName}.")

retrieved_key = client.get_key(keyName)

print(f"Key with name '{retrieved_key.name}' was found.")
print(f"Deleting your key from {keyVaultName} ...")

poller = client.begin_delete_key(keyName)
deleted_key = poller.result()

print(" done.")

Menjalankan kode

Pastikan kode di bagian sebelumnya ada dalam file dengan nama kv_keys.py. Kemudian jalankan kode dengan perintah berikut:

python kv_keys.py

Menjalankan ulang kode dengan nama kunci yang sama dapat menghasilkan kesalahan, "(Konflik) Nama> kunci <saat ini dalam status dihapus tetapi dapat dipulihkan." Gunakan nama kunci yang berbeda.

Detail kode

Mengautentikasi dan membuat klien

Permintaan aplikasi ke sebagian besar layanan Azure harus diotorisasi. Menggunakan kelas DefaultAzureCredential yang disediakan oleh pustaka klien Azure Identity adalah pendekatan yang direkomendasikan untuk menerapkan koneksi tanpa kata sandi ke layanan Azure dalam kode Anda. DefaultAzureCredential mendukung beberapa metode autentikasi dan menentukan metode autentikasi yang harus digunakan saat runtime bahasa umum. Pendekatan ini memungkinkan aplikasi Anda menggunakan metode autentikasi yang berbeda di lingkungan yang berbeda (lokal vs. produksi) tanpa menerapkan kode spesifik per lingkungan.

Dalam mulai cepat ini, DefaultAzureCredential autentikasi ke brankas kunci menggunakan kredensial pengguna pengembangan lokal yang masuk ke Azure CLI. Saat aplikasi disebarkan ke Azure, kode yang sama DefaultAzureCredential dapat secara otomatis menemukan dan menggunakan identitas terkelola yang ditetapkan ke App Service, Komputer Virtual, atau layanan lainnya. Untuk informasi selengkapnya, lihat Gambaran Umum Identitas Terkelola.

Dalam contoh kode, nama brankas kunci Anda diperluas menggunakan nilai KVUri variabel, dalam format: "https://< your-key-vault-name.vault.azure.net>".

credential = DefaultAzureCredential()
client = KeyClient(vault_url=KVUri, credential=credential)

Menyimpan kunci

Setelah mendapatkan objek klien untuk brankas kunci, Anda dapat menyimpan kunci menggunakan metode create_rsa_key method:

rsa_key = client.create_rsa_key(keyName, size=2048)

Anda juga dapat menggunakan create_key atau create_ec_key.

Memanggil metode create akan menghasilkan panggilan ke REST API Azure untuk brankas kunci.

Saat Azure menangani permintaan, Azure akan mengautentikasi identitas pemanggil (perwakilan layanan) menggunakan objek kredensial yang Anda berikan kepada klien.

Mengambil kunci

Untuk membaca kunci dari Key Vault, gunakan metode get_key:

retrieved_key = client.get_key(keyName)

Anda juga dapat memverifikasi bahwa kunci telah diatur dengan perintah Azure CLI az keyvault key show atau cmdlet Azure PowerShell Get-AzKeyVaultKey.

Menghapus kunci

Untuk menghapus kunci, gunakan metode begin_delete_key:

poller = client.begin_delete_key(keyName)
deleted_key = poller.result()

Metode begin_delete_key ini asinkron dan mengembalikan objek poller. Memanggil metode result poller menunggu penyelesaiannya.

Anda dapat memverifikasi bahwa kunci dihapus dengan perintah Azure CLI az keyvault key show atau cmdlet Azure PowerShell Get-AzKeyVaultKey.

Setelah dihapus, kunci tetap dalam status terhapus namun dapat dipulihkan untuk sementara waktu. Jika Anda menjalankan kode lagi, gunakan nama kunci lain.

Membersihkan sumber daya

Jika Anda juga ingin bereksperimen dengan sertifikat dan rahasia, Anda dapat menggunakan kembali Key Vault yang dibuat di artikel ini.

Jika tidak, saat Anda selesai dengan sumber daya yang dibuat di artikel ini, gunakan perintah berikut ini untuk menghapus grup sumber daya dan semua sumber daya yang terkandung:

az group delete --resource-group myResourceGroup

Langkah berikutnya