クイックスタート: Java 用 Azure Key Vault シークレットクライアントライブラリ

[アーティクル]
04/11/2024

Java 用 Azure Key Vault シークレットクライアントライブラリを使ってみます。以下の手順に従って、パッケージをインストールし、基本タスクのコード例を試してみましょう。

ヒント

Spring アプリケーションで Azure Key Vault のシークレットリソースを操作している場合は、Spring Cloud Azure を代替手段として検討することをお勧めします。 Spring Cloud Azure は、Spring と Azure サービスのシームレスな統合を実現するオープンソースプロジェクトです。 Spring Cloud Azure の詳細と、Key Vault シークレットの使用例については、Spring Boot アプリケーションでの Azure Key Vault からのシークレット読み込みに関する記事を参照してください。

その他のリソース:

前提条件

Azure サブスクリプション - 無料アカウントを作成します。
Java Development Kit (JDK) バージョン 8 以降
Apache Maven
Azure CLI

このクイックスタートは、Linux ターミナルウィンドウで Azure CLI と Apache Maven を実行していることを前提としています。

設定

このクイックスタートでは、Azure CLI と Azure Identity ライブラリを使用して、Azure サービスに対するユーザーの認証を行います。開発者は、Visual Studio または Visual Studio Code を使用してその呼び出しを認証することもできます。詳細については、Azure Identity クライアントライブラリを使用してクライアントを認証する方法に関するページを参照してください。

login コマンドを実行します。
```
az login
```
CLI で既定のブラウザーを開くことができる場合、開いたブラウザに Azure サインインページが読み込まれます。

それ以外の場合は、 https://aka.ms/devicelogin でブラウザーページを開き、ターミナルに表示されている認証コードを入力します。
ブラウザーでアカウントの資格情報を使用してサインインします。

新しい Java コンソールアプリを作成する

コンソールウィンドウで、mvn コマンドを使用し、akv-secrets-java という名前で新しい Java コンソールアプリを作成します。

mvn archetype:generate -DgroupId=com.keyvault.secrets.quickstart
                       -DartifactId=akv-secrets-java
                       -DarchetypeArtifactId=maven-archetype-quickstart
                       -DarchetypeVersion=1.4
                       -DinteractiveMode=false

プロジェクトの生成からの出力は、次のようになります。

[INFO] ----------------------------------------------------------------------------
[INFO] Using following parameters for creating project from Archetype: maven-archetype-quickstart:1.4
[INFO] ----------------------------------------------------------------------------
[INFO] Parameter: groupId, Value: com.keyvault.secrets.quickstart
[INFO] Parameter: artifactId, Value: akv-secrets-java
[INFO] Parameter: version, Value: 1.0-SNAPSHOT
[INFO] Parameter: package, Value: com.keyvault.secrets.quickstart
[INFO] Parameter: packageInPathFormat, Value: com/keyvault/quickstart
[INFO] Parameter: package, Value: com.keyvault.secrets.quickstart
[INFO] Parameter: groupId, Value: com.keyvault.secrets.quickstart
[INFO] Parameter: artifactId, Value: akv-secrets-java
[INFO] Parameter: version, Value: 1.0-SNAPSHOT
[INFO] Project created from Archetype in dir: /home/user/quickstarts/akv-secrets-java
[INFO] ------------------------------------------------------------------------
[INFO] BUILD SUCCESS
[INFO] ------------------------------------------------------------------------
[INFO] Total time:  38.124 s
[INFO] Finished at: 2019-11-15T13:19:06-08:00
[INFO] ------------------------------------------------------------------------

新しく作成された akv-secrets-java/ フォルダーにディレクトリを変更します。

cd akv-secrets-java

パッケージをインストールする

テキストエディターで pom.xml ファイルを開きます。依存関係のグループに、次の dependency 要素を追加します。

    <dependency>
      <groupId>com.azure</groupId>
      <artifactId>azure-security-keyvault-secrets</artifactId>
      <version>4.2.3</version>
    </dependency>

    <dependency>
      <groupId>com.azure</groupId>
      <artifactId>azure-identity</artifactId>
      <version>1.2.0</version>
    </dependency>

リソースグループとキーコンテナーを作成する

このクイックスタートでは、あらかじめ作成しておいた Azure キーコンテナーを使用します。キーコンテナーは、Azure CLI のクイックスタート、Azure PowerShell のクイックスタート、または Azure portal のクイックスタートの手順に従って作成できます。

また、以下の Azure CLI または Azure PowerShell コマンドを実行するだけでもかまいません。

重要

各キーコンテナーには一意の名前が必要です。次の例では、<your-unique-keyvault-name> をお使いのキーコンテナーの名前に置き換えてください。

Azure CLI
Azure PowerShell

az group create --name "myResourceGroup" -l "EastUS"

az keyvault create --name "<your-unique-keyvault-name>" -g "myResourceGroup"

New-AzResourceGroup -Name myResourceGroup -Location eastus

New-AzKeyVault -Name <your-unique-keyvault-name> -ResourceGroupName myResourceGroup -Location eastus

ロールベースのアクセス制御 (RBAC) を使用してキーコンテナーへのアクセス許可をアプリケーションに付与するには、Azure CLI コマンド az role assignment create を使用してロールを割り当てます。

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

ロールベースのアクセス制御 (RBAC) を使用してキーコンテナーへのアクセス許可をアプリケーションに付与するには、Azure PowerShell コマンドレット New-AzRoleAssignment を使用してロールを割り当てます。

New-AzRoleAssignment -ObjectId "<app-id>" -RoleDefinitionName "Key Vault Secrets User" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

<app-id>、<subscription-id>、<resource-group-name> および <your-unique-keyvault-name> を実際の値に置き換えます。 <app-id> は、Azure AD に登録済みのアプリケーションのアプリケーション (クライアント) ID です。

環境変数の設定

このアプリケーションでは、キーコンテナーの名前を、KEY_VAULT_NAME という環境変数として使用しています。

Windows

set KEY_VAULT_NAME=<your-key-vault-name>

Windows PowerShell

$Env:KEY_VAULT_NAME="<your-key-vault-name>"

macOS または Linux

export KEY_VAULT_NAME=<your-key-vault-name>

オブジェクトモデル

Java 用 Azure Key Vault シークレットクライアントライブラリを使用すると、シークレットを管理できます。クライアントの作成、シークレットの設定、シークレットの取得、シークレットの削除を行う方法を「コード例」セクションで紹介しています。

コード例

ディレクティブの追加

コードの先頭に次のディレクティブを追加します。

import com.azure.core.util.polling.SyncPoller;
import com.azure.identity.DefaultAzureCredentialBuilder;

import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;
import com.azure.security.keyvault.secrets.models.DeletedSecret;
import com.azure.security.keyvault.secrets.models.KeyVaultSecret;

クライアントの認証と作成

ほとんどの Azure サービスに対するアプリケーション要求は、認可される必要があります。 DefaultAzureCredential クラスを使うことは、コード内の Azure サービスへのパスワードレス接続を実装するための推奨される方法です。 DefaultAzureCredential は複数の認証方法をサポートしており、実行時に使用する方法が決定されます。このアプローチを採用すると、環境固有のコードを実装することなく、異なる環境 (ローカルと運用環境) で異なる認証方法をアプリに使用できます。

このクイックスタートでは、DefaultAzureCredential は Azure CLI にログインしたローカル開発ユーザーの資格情報を使って、キーコンテナーに対して認証されます。アプリケーションが Azure にデプロイされると、同じDefaultAzureCredential コードで、App Service、仮想マシン、またはその他のサービスに割り当てられているマネージド ID を自動的に検出して使用できます。詳細については、マネージド ID の概要に関するページを参照してください。

この例では、キーコンテナーの名前は、https://<your-key-vault-name>.vault.azure.net という形式で、キーコンテナーの URI に展開されます。キーコンテナーに対する認証の詳細については、開発者ガイドを参照してください。

String keyVaultName = System.getenv("KEY_VAULT_NAME");
String keyVaultUri = "https://" + keyVaultName + ".vault.azure.net";

SecretClient secretClient = new SecretClientBuilder()
    .vaultUrl(keyVaultUri)
    .credential(new DefaultAzureCredentialBuilder().build())
    .buildClient();

シークレットを保存する

アプリケーションが認証されたら、secretClient.setSecret メソッドを使用して、キーコンテナーにシークレットを設定できます。これにはシークレットの名前が必要です。このサンプルでは、secretName 変数に "mySecret" という値を代入しました。

secretClient.setSecret(new KeyVaultSecret(secretName, secretValue));

シークレットが設定されたことは、az keyvault secret show コマンドを使用して確認できます。

az keyvault secret show --vault-name <your-unique-key-vault-name> --name mySecret

シークレットを取得する

先ほど設定したシークレットは、secretClient.getSecret メソッドを使用して取得できます。

KeyVaultSecret retrievedSecret = secretClient.getSecret(secretName);

取得したシークレットの値には、retrievedSecret.getValue() を使用してアクセスできます。

シークレットを削除します

最後に、secretClient.beginDeleteSecret メソッドを使用して、キーコンテナーからシークレットを削除してみましょう。

シークレットの削除は実行時間の長い操作です。進行状況をポーリングすることも、操作が完了するまで待つこともできます。

SyncPoller<DeletedSecret, Void> deletionPoller = secretClient.beginDeleteSecret(secretName);
deletionPoller.waitForCompletion();

シークレットが削除されたことを確認するには、az keyvault secret show コマンドを使用します。

az keyvault secret show --vault-name <your-unique-key-vault-name> --name mySecret

リソースをクリーンアップする

不要になったら、Azure CLI または Azure PowerShell を使用して、キーコンテナーとそれに対応するリソースグループを削除できます。

az group delete -g "myResourceGroup"

Remove-AzResourceGroup -Name "myResourceGroup"

サンプルコード

package com.keyvault.secrets.quickstart;

import java.io.Console;

import com.azure.core.util.polling.SyncPoller;
import com.azure.identity.DefaultAzureCredentialBuilder;

import com.azure.security.keyvault.secrets.SecretClient;
import com.azure.security.keyvault.secrets.SecretClientBuilder;
import com.azure.security.keyvault.secrets.models.DeletedSecret;
import com.azure.security.keyvault.secrets.models.KeyVaultSecret;

public class App {
    public static void main(String[] args) throws InterruptedException, IllegalArgumentException {
        String keyVaultName = System.getenv("KEY_VAULT_NAME");
        String keyVaultUri = "https://" + keyVaultName + ".vault.azure.net";

        System.out.printf("key vault name = %s and key vault URI = %s \n", keyVaultName, keyVaultUri);

        SecretClient secretClient = new SecretClientBuilder()
            .vaultUrl(keyVaultUri)
            .credential(new DefaultAzureCredentialBuilder().build())
            .buildClient();

        Console con = System.console();

        String secretName = "mySecret";

        System.out.println("Please provide the value of your secret > ");

        String secretValue = con.readLine();

        System.out.print("Creating a secret in " + keyVaultName + " called '" + secretName + "' with value '" + secretValue + "' ... ");

        secretClient.setSecret(new KeyVaultSecret(secretName, secretValue));

        System.out.println("done.");
        System.out.println("Forgetting your secret.");

        secretValue = "";
        System.out.println("Your secret's value is '" + secretValue + "'.");

        System.out.println("Retrieving your secret from " + keyVaultName + ".");

        KeyVaultSecret retrievedSecret = secretClient.getSecret(secretName);

        System.out.println("Your secret's value is '" + retrievedSecret.getValue() + "'.");
        System.out.print("Deleting your secret from " + keyVaultName + " ... ");

        SyncPoller<DeletedSecret, Void> deletionPoller = secretClient.beginDeleteSecret(secretName);
        deletionPoller.waitForCompletion();

        System.out.println("done.");
    }
}

次のステップ

このクイックスタートでは、キーコンテナーを作成し、シークレットを格納しました。さらにシークレットを取得した後、これを削除しました。 Key Vault およびアプリケーションとの統合方法の詳細については、引き続き以下の記事を参照してください。

クイックスタート: Java 用 Azure Key Vault シークレット クライアント ライブラリ