Esercizio - Creare un insieme di credenziali delle chiavi e archiviare i segreti
Creare insiemi di credenziali delle chiavi per le applicazioni
Una procedura consigliata prevede la creazione di un insieme di credenziali separato per ogni ambiente di distribuzione, ad esempio sviluppo, test e produzione, in ogni applicazione. È possibile usare un singolo insieme di credenziali per condividere segreti tra più app e ambienti. Tuttavia, se un utente malintenzionato ottiene l'accesso in lettura a un insieme di credenziali, l'impatto è proporzionale al numero di segreti nell'insieme di credenziali.
Suggerimento
Se si usano gli stessi nomi per i segreti nei diversi ambienti di un'applicazione, l'unica configurazione specifica dell'ambiente da modificare nell'app è l'URL dell'insieme di credenziali.
Per creare un insieme di credenziali non è necessaria alcuna configurazione iniziale. All'identità utente viene concesso automaticamente il set completo di autorizzazioni di gestione dei segreti. È possibile iniziare subito ad aggiungere segreti. Dopo aver creato un insieme di credenziali, l'aggiunta e la gestione dei segreti possono essere eseguite da qualsiasi interfaccia amministrativa di Azure, come il portale di Azure, l'interfaccia della riga di comando di Azure e Azure PowerShell. Quando si configura l'applicazione per l'uso dell'insieme di credenziali, è necessario assegnare le autorizzazioni corrette, come descritto nell'unità successiva.
Creare l'insieme di credenziali delle chiavi e archiviare il segreto
Dato tutti i problemi che l'azienda ha avuto con i segreti dell'applicazione, la gestione chiede di creare una piccola app iniziale per impostare gli altri sviluppatori nel percorso corretto. L'app deve illustrare le procedure consigliate per gestire i segreti nel modo più semplice e sicuro possibile.
Per iniziare, creare un insieme di credenziali e archiviare un segreto.
Creare l'insieme di credenziali delle chiavi
I nomi di Key Vault devono essere univoci a livello globale, quindi selezionare un nome univoco. I nomi degli insiemi di credenziali devono avere una lunghezza compresa tra 3 e 24 caratteri e contenere solo caratteri alfanumerici e trattini. Prendere nota del nome dell'insieme di credenziali scelto, perché è necessario in questo esercizio.
Per creare l'insieme di credenziali, eseguire questo comando in Azure Cloud Shell. Assicurarsi di immettere un nome dell'insieme di credenziali univoco per il parametro --name.
az keyvault create \
--resource-group "<rgn>[sandbox resource group name]</rgn>" \
--location centralus \
--name <your-unique-vault-name>
Al termine, viene visualizzato l'output JSON che descrive il nuovo insieme di credenziali.
Suggerimento
Comando usato per il gruppo di risorse precedentemente creato denominato
Aggiungere il segreto
Aggiungere ora il segreto. Il segreto viene denominato SecretPassword con il valore .reindeer_flotilla Assicurarsi di sostituire <your-unique-vault-name> con il nome dell'insieme di credenziali creato nel parametro --vault-name.
az keyvault secret set \
--name SecretPassword \
--value reindeer_flotilla \
--vault-name <your-unique-vault-name>
A breve si scriverà il codice per l'app, ma è prima necessario capire come l'app eseguirà l'autenticazione in un insieme di credenziali.