Zelfstudie: Azure Key Vault gebruiken met een virtuele machine in Python
Met Azure Key Vault kunt u sleutels, geheimen en certificaten beveiligen, zoals API-sleutels en databaseverbindingsreeksen.
In deze zelfstudie configureert u een Python-toepassing voor het lezen van gegevens uit Azure Key Vault met behulp van beheerde identiteiten voor Azure-resources. In deze zelfstudie leert u procedures om het volgende te doen:
- Een sleutelkluis maken
- Een geheim opslaan in Key Vault
- Een virtuele Linux-machine maken
- Een Beheerde identiteit inschakelen voor de virtuele machine
- De vereiste machtigingen verlenen aan de consoletoepassing om gegevens te lezen uit Key Vault
- Een geheim lezen uit Key Vault
Lees voordat u verdergaat eerst Basisconcepten van Key Vault.
Als u nog geen abonnement op Azure hebt, maakt u een gratis account aan.
Vereisten
Voor Windows, Mac en Linux:
- Git
- Voor deze zelfstudie moet u de Azure CLI lokaal uitvoeren. Azure CLI versie 2.0.4 of hoger moet geïnstalleerd zijn. Voer
az --versionuit om de versie te bekijken. Als u Azure CLI wilt installeren of upgraden, raadpleegt u Azure CLI 2.0 installeren.
Meld u aan bij Azure.
Als u zich bij Azure wilt aanmelden met de Azure CLI, voert u het volgende in:
az login
Een resourcegroep en sleutelkluis maken
In deze quickstart wordt gebruikgemaakt van een vooraf gemaakte Azure-sleutelkluis. U kunt een sleutelkluis maken met behulp van de stappen in de quickstart voor Azure CLI, de quickstart voor Azure PowerShell of de quickstart voor de Azure-portal.
U kunt ook de onderstaande Azure CLI- of Azure PowerShell-opdrachten uitvoeren.
Belangrijk
Elke sleutelkluis moet een unieke naam hebben. Vervang <your-unique-keyvault-name> door de naam van uw sleutelkluis in de volgende voorbeelden.
az group create --name "myResourceGroup" -l "EastUS"
az keyvault create --name "<your-unique-keyvault-name>" -g "myResourceGroup"
Vul uw sleutelkluis in met een geheim
We gaan een geheim maken met de naam mySecret en de waarde Success! . Een geheim kan een wachtwoord zijn, een SQL-verbindingsreeks of andere gegevens die u zowel veilig als beschikbaar wilt houden voor de toepassing.
Gebruik de volgende opdracht om een geheim toe te voegen aan uw zojuist gemaakte sleutelkluis:
az keyvault secret set --vault-name "<your-unique-keyvault-name>" --name "mySecret" --value "Success!"
Een virtuele machine maken
Gebruik een van de volgende methoden om een VM met de naam myVM te maken:
| Linux | Windows |
|---|---|
| Azure-CLI | Azure-CLI |
| PowerShell | PowerShell |
| Azure-portal | Azure Portal |
Als u een Linux-VM wilt maken met behulp van de Azure CLI, gebruikt u de opdracht az vm create. In het volgende voorbeeld wordt een gebruikersaccount met de naam azureuser toegevoegd. De parameter --generate-ssh-keys wordt gebruikt om automatisch een SSH-sleutel te genereren en deze te plaatsen in de standaardsleutellocatie ( ~/.ssh).
az vm create \
--resource-group myResourceGroup \
--name myVM \
--image Ubuntu2204 \
--admin-username azureuser \
--generate-ssh-keys
Noteer de waarde van publicIpAddress in de uitvoer.
Een identiteit toewijzen aan de virtuele machine
Maak een door het systeem toegewezen identiteit voor de virtuele machine met de opdracht az vm identity assign van de Azure CLI:
az vm identity assign --name "myVM" --resource-group "myResourceGroup"
Bekijk de door het systeem toegewezen identiteit die wordt weergegeven in de volgende code. De uitvoer van de vorige opdracht ziet er als volgt uit:
{
"systemAssignedIdentity": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"userAssignedIdentities": {}
}
Machtigingen toewijzen aan de VM-identiteit
U kunt nu de eerder gemaakte identiteitsmachtigingen toewijzen aan uw sleutelkluis door de volgende opdracht uit te voeren:
az keyvault set-policy --name "<your-unique-keyvault-name>" --object-id "<systemAssignedIdentity>" --secret-permissions get list
Aanmelden bij de nieuwe virtuele machine
Als u zich wilt aanmelden bij de virtuele machine, volgt u de instructies in Verbinding maken met en aanmelden bij een virtuele Azure-machine met Linux of Verbinding maken en aanmelden bij een virtuele Azure-machine met Windows.
Als u zich wilt aanmelden bij een Linux-VM, kunt u de ssh-opdracht gebruiken met het <publicIpAddress> dat is opgegeven in de stap Een virtuele machine maken :
ssh azureuser@<PublicIpAddress>
Python-bibliotheken installeren op de VM
Installeer op de virtuele machine de twee Python-bibliotheken die we gaan gebruiken in het Python-script: azure-keyvault-secrets en azure.identity.
Op een Linux-VM kunt u deze bijvoorbeeld installeren met behulp van pip3:
pip3 install azure-keyvault-secrets
pip3 install azure.identity
Het Python-voorbeeldscript maken en bewerken
Maak op de virtuele machine een Python-bestand met de naam sample.py. Bewerk het bestand zodat het de volgende code bevat, waarbij <u your-unique-keyvault-name> vervangt door de naam van uw sleutelkluis:
from azure.keyvault.secrets import SecretClient
from azure.identity import DefaultAzureCredential
key_vault_name = "<your-unique-keyvault-name>"
key_vault_uri = f"https://{key_vault_name}.vault.azure.net"
secret_name = "mySecret"
credential = DefaultAzureCredential()
client = SecretClient(vault_url=key_vault_uri, credential=credential)
retrieved_secret = client.get_secret(secret_name)
print(f"The value of secret '{secret_name}' in '{key_vault_name}' is: '{retrieved_secret.value}'")
De Python-voorbeeld-app uitvoeren
Voer ten slotte sample.py uit. Als alles goed is, moet de waarde van uw geheim worden geretourneerd:
python3 sample.py
The value of secret 'mySecret' in '<your-unique-keyvault-name>' is: 'Success!'
Resources opschonen
Wanneer u deze niet meer nodig hebt, verwijdert u de virtuele machine en uw sleutelkluis. U kunt dit snel doen door de resourcegroep waartoe ze behoren te verwijderen:
az group delete -g myResourceGroup