Quickstart: Een geheim uit Azure Key Vault instellen en ophalen met PowerShell

Azure Key Vault is een cloudservice die werkt als een beveiligd geheimenarchief. U kunt veilig sleutels, wachtwoorden, certificaten en andere geheime informatie opslaan. U kunt het Overzicht raadplegen voor meer informatie over Key Vault. In deze snelstart gebruikt u PowerShell om een sleutelkluis te maken. Vervolgens slaat u een geheim op in de zojuist gemaakte kluis.

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Azure Cloud Shell gebruiken

Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde opdrachten van Cloud Shell gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.

Om Azure Cloud Shell op te starten:

Optie Voorbeeld/koppeling
Selecteer Nu proberen in de rechterbovenhoek van een codeblok. Als u Uitproberen selecteert, wordt de code niet automatisch gekopieerd naar Cloud Shell. Voorbeeld van Uitproberen voor Azure Cloud Shell
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen. Cloud Shell starten in een nieuw venster
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal. Knop Cloud Shell in de Azure Portal

Om de code in dit artikel in Azure Cloud Shell uit te voeren:

  1. Start Cloud Shell.

  2. Selecteer de knop Kopiëren op een codeblok om de code te kopiëren.

  3. Plak de code in de Cloud Shell-sessie door CTRL+Shift+V te selecteren in Windows en Linux of door Cmd+Shift+V op macOS te selecteren.

  4. Selecteer Invoeren om de code uit te voeren.

Als u ervoor kiest om PowerShell lokaal te installeren en gebruiken, is versie 5.0.0 of hoger van de Azure PowerShell-module vereist voor deze zelfstudie. Typ $PSVersionTable.PSVersion om de versie te bekijken. Als u PowerShell wilt upgraden, raadpleegt u De Azure PowerShell-module installeren. Als u PowerShell lokaal uitvoert, moet u ook Connect-AzAccount uitvoeren om verbinding te kunnen maken met Azure.

Connect-AzAccount

Een resourcegroep maken

Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. Gebruik de Azure PowerShell New-AzResourceGroup cmdlet om een resource groep met de naam myResourceGroup te maken op de locatie eastus .

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Een sleutelkluis maken

Gebruik de Azure PowerShell cmdlet New-AzKeyVault om een Key Vault maken in de resourcegroep uit de vorige stap. U moet enkele gegevens verstrekken:

  • Naam van de sleutelkluis: Een tekenreeks van 3 tot en met 24 tekens, die alleen cijfers (0-9), letters (a-z, A-Z) en afbreekstreepjes (-) mag bevatten.

    Belangrijk

    Elke sleutelkluis moet een unieke naam hebben. Vervang door de naam van uw sleutelkluis in de volgende voorbeelden.

  • Naam van resourcegroep: myResourceGroup.

  • De locatie: EastUS.

New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "East US"

De uitvoer van deze cmdlet toont eigenschappen van de nieuw gemaakte sleutelkluis. Let op de onderstaande twee eigenschappen:

  • Kluisnaam: de naam die u hierboven hebt opgegeven voor de parameter --name.
  • Kluis-URI: In het voorbeeld is dit https://<unieke-naam-van-uw-sleutelkluis>.vault.azure.net/. Toepassingen die via de REST API gebruikmaken van uw kluis, moeten deze URI gebruiken.

Vanaf dit punt is uw Azure-account nu als enige gemachtigd om bewerkingen op deze nieuwe kluis uit te voeren.

Geef uw gebruikersaccount machtigingen voor het beheren van geheimen in Key Vault

Gebruik de cmdlet Set-AzKeyVaultAccessPolicy van Azure PowerShell om het toegangsbeleid van Key Vault bij te werken en geheimmachtigingen toe te voegen aan uw gebruikersaccount.

Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -UserPrincipalName "user@domain.com" -PermissionsToSecrets get,set,delete

Een geheim toevoegen aan Key Vault

Als u een geheim wilt toevoegen aan de kluis, hoeft u maar een paar stappen uit te voeren. In dit geval voegt u een wachtwoord toe dat door een toepassing kan worden gebruikt. Het wachtwoord heeft de naam ExamplePassword en slaat daarin de waarde van hVFkk965BuUv op.

Converteer eerst de waarde van hVFkk965BuUv naar een beveiligde tekenreeks door het volgende te typen:

$secretvalue = ConvertTo-SecureString "hVFkk965BuUv" -AsPlainText -Force

Gebruik vervolgens de cmdlet Azure PowerShell Set-AzKeyVaultSecret om een geheim te maken in Key Vault met de naam ExamplePassword met de waarde hVFkk965BuUv:

$secret = Set-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -SecretValue $secretvalue

Een geheim lezen uit Key Vault

Als u de waarde in het geheim als tekst zonder opmaak wilt weergeven:

$secret = Get-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -AsPlainText

U hebt nu een sleutelkluis gemaakt, een geheim opgeslagen en dat vervolgens opgehaald.

Resources opschonen

Andere snelstartgidsen en zelfstudies in deze verzameling zijn gebaseerd op deze snelstartgids. Als u van plan bent om verder te gaan met andere snelstarts en zelfstudies, kunt u deze resources intact laten.

U kunt de opdracht Remove-AzResourceGroup gebruiken om de resourcegroep, sleutelkluis en alle gerelateerde resources te verwijderen wanneer u deze niet meer nodig hebt.

Remove-AzResourceGroup -Name ContosoResourceGroup

Volgende stappen

In deze quickstart hebt u een sleutelkluis gemaakt en daar een geheim in opgeslagen. Voor meer informatie over Key Vault en hoe u Key Vault integreert met uw toepassingen gaat u verder naar de artikelen hieronder.