Quickstart: Azure Key Vault-clientbibliotheek voor geheimen voor Python

  • Artikel

Ga aan de slag met de Azure Key Vault-clientbibliotheek voor geheimen voor Python. Volg deze stappen om het pakket te installeren en voorbeeldcode voor basistaken uit te proberen. Door Key Vault te gebruiken om geheimen op te slaan, voorkomt u dat geheimen in uw code worden opgeslagen en is uw app dus beter beveiligd.

API-referentiedocumentatie | Broncode van de bibliotheek | Pakket (Python Package Index)

Vereisten

In deze quickstart wordt ervan uitgegaan dat u Azure CLI of Azure PowerShell uitvoert in een Linux-terminalvenster.

Uw lokale omgeving instellen

In deze quickstart wordt gebruikgemaakt van de Azure Identity-bibliotheek met Azure CLI of Azure PowerShell om de gebruiker te verifiëren bij Azure Services. Ontwikkelaars kunnen ook Visual Studio of Visual Studio Code gebruiken om hun oproepen te verifiëren: zie De client verifiëren met de Azure Identity-clientbibliotheek (Engelstalig) voor meer informatie.

Aanmelden bij Azure

  1. Voer de opdracht az login uit.

    az login

    Als de CLI uw standaardbrowser kan openen, gebeurt dat ook en wordt er een Azure-aanmeldingspagina geladen.

    Als dat niet het geval is, opent u een browserpagina op https://aka.ms/devicelogin en voert u de autorisatiecode in die wordt weergegeven in de terminal.

  2. Meldt u zich in de browser aan met uw accountreferenties.

De pakketten installeren

  1. In een terminal- of opdrachtprompt maakt u een geschikte projectmap en maakt en activeert u een virtuele Python-omgeving, zoals wordt beschreven in Virtuele Python-omgevingen gebruiken.

  2. Installeer de Microsoft Entra-identiteitsbibliotheek:

    pip install azure-identity

  3. Installeer de Key Vault-geheimenbibliotheek:

    pip install azure-keyvault-secrets

Een resourcegroep en sleutelkluis maken

  1. Gebruik de opdracht az group create om een resourcegroep te maken:

    az group create --name myResourceGroup --location eastus

    Als u liever de 'eastus' wijzigt in een locatie die dichterbij ligt, kan dat ook.

  2. Gebruik az keyvault create om de sleutelkluis te maken:

    az keyvault create --name <your-unique-keyvault-name> --resource-group myResourceGroup

    Vervang <your-unique-keyvault-name> door een naam die in de volledige Azure-omgeving uniek is. Normaal gesproken gebruikt u uw persoonlijke of bedrijfsnaam samen met andere getallen en id's.

De omgevingsvariabele KEY_VAULT_NAME instellen

Ons script gebruikt de waarde die is toegewezen aan de KEY_VAULT_NAME omgevingsvariabele als de naam van de sleutelkluis. U moet deze waarde daarom instellen met de volgende opdracht:

export KEY_VAULT_NAME=<your-unique-keyvault-name>

Toegang verlenen tot uw sleutelkluis

Als u uw toepassingsmachtigingen wilt verlenen aan uw sleutelkluis via op rollen gebaseerd toegangsbeheer (RBAC), wijst u een rol toe met behulp van de Azure CLI-opdracht az role assignment create.

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Vervang <app-id>, <subscription-id>, <resource-group-name> en <your-unique-keyvault-name> door uw werkelijke waarden. <app-id> is de toepassings-id (client) van uw geregistreerde toepassing in Azure AD.

De voorbeeldcode maken

Met de Azure Key Vault-clientbibliotheek voor geheimen voor Python kunt u geheimen beheren. Het volgende codevoorbeeld laat zien hoe u een client maakt, een geheim instelt, een geheim ophaalt en een geheim verwijdert.

Maak een bestand met de naam kv_secrets.py dat deze code bevat.

import os
from azure.keyvault.secrets import SecretClient
from azure.identity import DefaultAzureCredential

keyVaultName = os.environ["KEY_VAULT_NAME"]
KVUri = f"https://{keyVaultName}.vault.azure.net"

credential = DefaultAzureCredential()
client = SecretClient(vault_url=KVUri, credential=credential)

secretName = input("Input a name for your secret > ")
secretValue = input("Input a value for your secret > ")

print(f"Creating a secret in {keyVaultName} called '{secretName}' with the value '{secretValue}' ...")

client.set_secret(secretName, secretValue)

print(" done.")

print(f"Retrieving your secret from {keyVaultName}.")

retrieved_secret = client.get_secret(secretName)

print(f"Your secret is '{retrieved_secret.value}'.")
print(f"Deleting your secret from {keyVaultName} ...")

poller = client.begin_delete_secret(secretName)
deleted_secret = poller.result()

print(" done.")

De code uitvoeren

Zorg ervoor dat de code in de vorige sectie in een bestand met de naam kv_secrets.py staat. Voer de code vervolgens uit met de volgende opdracht:

python kv_secrets.py

Codedetails

Een client verifiëren en maken

Toepassingsaanvragen voor de meeste Azure-services moeten worden geautoriseerd. Het gebruik van de DefaultAzureCredential-klasse die wordt geleverd door de Azure Identity-clientbibliotheek is de aanbevolen methode voor het implementeren van verbindingen zonder wachtwoord met Azure-services in uw code. DefaultAzureCredential ondersteunt meerdere verificatiemethoden en bepaalt welke methode tijdens runtime moet worden gebruikt. Met deze aanpak kan uw app verschillende verificatiemethoden gebruiken in verschillende omgevingen (lokaal versus productie) zonder omgevingsspecifieke code te implementeren.

In deze quickstart DefaultAzureCredential verifieert u zich bij de sleutelkluis met behulp van de referenties van de lokale ontwikkelgebruiker die is aangemeld bij de Azure CLI. Wanneer de toepassing in Azure wordt geïmplementeerd, kan dezelfde DefaultAzureCredential code automatisch een beheerde identiteit detecteren en gebruiken die is toegewezen aan een App Service, virtuele machine of andere services. Zie Overzicht van beheerde identiteiten voor meer informatie.

In de voorbeeldcode wordt de naam van uw sleutelkluis uitgebreid met behulp van de waarde van de KVUri variabele, in de notatie: 'https://< your-key-vault-name.vault.azure.net>'.

credential = DefaultAzureCredential()
client = SecretClient(vault_url=KVUri, credential=credential)

Een geheim opslaan

Zodra u het clientobject voor de sleutelkluis hebt opgehaald, kunt u een geheim opslaan met behulp van de methode set_secret:

client.set_secret(secretName, secretValue)

Wanneer een set_secret wordt aangeroepen, wordt er een aanroep bij de Azure REST-API voor de sleutelkluis gegenereerd.

Wanneer Azure de aanvraag afhandelt, wordt de identiteit van de beller (de service-principal) geverifieerd met behulp van het referentieobject dat u aan de client hebt opgegeven.

Een geheim ophalen

Om een geheim uit Key Vault te lezen, gebruikt u de methode get_secret:

retrieved_secret = client.get_secret(secretName)

De geheime waarde bevindt zich in retrieved_secret.value.

U kunt ook een geheim ophalen met de Azure CLI-opdracht az keyvault secret show of de Azure PowerShell-cmdlet Get-AzKeyVaultSecret.

Een geheim verwijderen

Als u een geheim wilt verwijderen, gebruikt u de methode begin_delete_secret :

poller = client.begin_delete_secret(secretName)
deleted_secret = poller.result()

De methode begin_delete_secret is asynchroon en retourneert een pollerobject. Wanneer de methode result van de poller wordt aangeroepen, wordt er gewacht totdat deze voltooid is.

U kunt controleren of het geheim is verwijderd met de Azure CLI-opdracht az keyvault secret show of de Azure PowerShell-cmdlet Get-AzKeyVaultSecret.

Zodra een geheim is verwijderd, heeft deze nog een tijdje de status Verwijderd maar herstelbaar. Gebruik een andere geheime naam als u de code nogmaals uitvoert.

Resources opschonen

Als u ook met certificaten en sleutels wilt experimenteren, kunt u de Key Vault hergebruiken die in dit artikel is gemaakt.

Anders, wanneer u klaar bent met de resources die in dit artikel zijn gemaakt, gebruikt u de volgende opdracht om de resourcegroep en alle resources daarin te verwijderen:

az group delete --resource-group myResourceGroup

Volgende stappen