Краткое руководство. Клиентская библиотека секретов Azure Key Vault для JavaScript

Начало работы с клиентской библиотекой секретов Azure Key Vault для JavaScript. Azure Key Vault — это облачная служба, которая предоставляет защищенное хранилище для секретов. Вы можете безопасно хранить ключи, пароли, сертификаты и другие секреты. Создать хранилища Azure Key Vault и управлять ими можно на портале Azure. В рамках этого краткого руководства вы узнаете, как создавать, извлекать и удалять секреты в Azure Key Vault с помощью клиентской библиотеки JavaScript.

Ресурсы клиентской библиотеки Key Vault:

Справочная документация по API | Исходный код библиотеки | Пакет (npm).

Дополнительные сведения о Key Vault и секретах см. в следующих статьях:

• Общие сведения о Key Vault
• Общие сведения о секретах

Необходимые компоненты

• Подписка Azure — создайте бесплатную учетную запись.
• Текущая Node.js LTS.
• Azure CLI
• Существующее хранилище ключей — его можно создать с помощью:
  • Azure CLI
  • Портал Azure
  • Azure PowerShell

В этом кратком руководстве предполагается, что вы используете Azure CLI.

Вход в Azure

1. Выполните команду login.

   az login
   

   Если в CLI можно запустить браузер по умолчанию, откроется браузер со страницей входа.

   В противном случае самостоятельно откройте в браузере страницу https://aka.ms/devicelogin и введите код авторизации, отображаемый в терминале.

2. Выполните вход в браузере с помощью учетных данных.

Создание приложения Node.js

Создайте приложение Node.js, использующее ваше хранилище ключей.

1. В терминале создайте папку с именем key-vault-node-app и измените в этой папке:

   mkdir key-vault-node-app && cd key-vault-node-app
   

2. Инициализация проекта Node.js:

   npm init -y
   

Установка пакетов Key Vault

1. С помощью терминала установите клиентская библиотека секретов Azure Key Vault @azure /keyvault-secret для Node.js.

   npm install @azure/keyvault-secrets
   

2. Установите клиентская библиотека удостоверений Azure, @azure/пакет удостоверений для проверки подлинности в Key Vault.

   npm install @azure/identity
   

Предоставление доступа к хранилищу ключей

Azure CLI

Чтобы предоставить приложению разрешения для хранилища ключей с помощью контроль доступа на основе ролей (RBAC), назначьте роль с помощью команды Azure CLI az role assignment create.

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Azure PowerShell

Чтобы предоставить приложению разрешения для хранилища ключей с помощью контроль доступа на основе ролей (RBAC), назначьте роль с помощью командлета Azure PowerShell New-AzRoleAssignment.

New-AzRoleAssignment -ObjectId "<app-id>" -RoleDefinitionName "Key Vault Secrets User" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Замените app-id>, subscription-id>, <<resource-group-name и <your-unique-keyvault-name>> фактическими значениями.< <Идентификатор приложения — это идентификатор> приложения (клиента) зарегистрированного приложения в Azure AD.

Настройка переменных среды

Это приложение использует имя хранилища ключей в качестве переменной среды с именем KEY_VAULT_NAME.

Windows

set KEY_VAULT_NAME=<your-key-vault-name>

PowerShell

Windows PowerShell

$Env:KEY_VAULT_NAME="<your-key-vault-name>"

macOS или Linux

export KEY_VAULT_NAME=<your-key-vault-name>

Аутентификация и создание клиента

Запросы приложений к большинству служб Azure должны быть авторизованы. Использование метода DefaultAzureCredential, предоставленного клиентской библиотекой удостоверений Azure, является рекомендуемым подходом для реализации бессерверных подключений к службам Azure в коде. DefaultAzureCredential поддерживает несколько способов проверки подлинности и определяет, какой из них следует использовать в среде выполнения. Такой подход позволяет приложению использовать различные способы проверки подлинности в разных средах (локальной и рабочей) без реализации кода для конкретной среды.

В этом кратком руководстве DefaultAzureCredential выполняется проверка подлинности в хранилище ключей с помощью учетных данных локального пользователя разработки, вошедшего в Azure CLI. При развертывании приложения в Azure тот же DefaultAzureCredential код может автоматически обнаруживать и использовать управляемое удостоверение, назначенное Служба приложений, виртуальной машине или другим службам. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure?.

В этом коде имя хранилища ключей используется для создания URI хранилища ключей в формате https://<your-key-vault-name>.vault.azure.net. Дополнительные сведения о проверке подлинности в хранилище ключей см. в руководстве для разработчиков.

Пример кода

В приведенных ниже примерах кода показано, как создать клиент, а также как задать, извлечь и удалить секрет.

В этом коде используются следующие классы и методы Секрета Key Vault:

• DefaultAzureCredential
• Класс SecretClient
  • setSecret
  • getSecret
  • updateSecretProperties
  • beginDeleteSecret

Настройка платформы приложения

1. Создайте новый текстовый файл и вставьте приведенный ниже код в файл index.js.

   const { SecretClient } = require("@azure/keyvault-secrets");
   const { DefaultAzureCredential } = require("@azure/identity");
   
   async function main() {
     // If you're using MSI, DefaultAzureCredential should "just work".
     // Otherwise, DefaultAzureCredential expects the following three environment variables:
     // - AZURE_TENANT_ID: The tenant ID in Azure Active Directory
     // - AZURE_CLIENT_ID: The application (client) ID registered in the AAD tenant
     // - AZURE_CLIENT_SECRET: The client secret for the registered application
     const credential = new DefaultAzureCredential();
   
     const keyVaultName = process.env["KEY_VAULT_NAME"];
     if(!keyVaultName) throw new Error("KEY_VAULT_NAME is empty");
     const url = "https://" + keyVaultName + ".vault.azure.net";
   
     const client = new SecretClient(url, credential);
   
     // Create a secret
     // The secret can be a string of any kind. For example,
     // a multiline text block such as an RSA private key with newline characters,
     // or a stringified JSON object, like `JSON.stringify({ mySecret: 'MySecretValue'})`.
     const uniqueString = new Date().getTime();
     const secretName = `secret${uniqueString}`;
     const result = await client.setSecret(secretName, "MySecretValue");
     console.log("result: ", result);
   
     // Read the secret we created
     const secret = await client.getSecret(secretName);
     console.log("secret: ", secret);
   
     // Update the secret with different attributes
     const updatedSecret = await client.updateSecretProperties(secretName, result.properties.version, {
       enabled: false
     });
     console.log("updated secret: ", updatedSecret);
   
     // Delete the secret immediately without ability to restore or purge.
     await client.beginDeleteSecret(secretName);
   }
   
   main().catch((error) => {
     console.error("An error occurred:", error);
     process.exit(1);
   });
   

Запуск примера приложения

1. Запустите приложение:

   node index.js
   

2. Методы создания и получения возвращают полный объект JSON в секрете:

   {
       "value": "MySecretValue",
       "name": "secret1637692472606",
       "properties": {
           "createdOn": "2021-11-23T18:34:33.000Z",
           "updatedOn": "2021-11-23T18:34:33.000Z",
           "enabled": true,
           "recoverableDays": 90,
           "recoveryLevel": "Recoverable+Purgeable",
           "id": "https: //YOUR-KEYVAULT-NAME.vault.azure.net/secrets/secret1637692472606/YOUR-VERSION",
           "vaultUrl": "https: //YOUR-KEYVAULT-NAME.vault.azure.net",
           "version": "YOUR-VERSION",
           "name": "secret1637692472606"
       }
   }
   

   Метод обновления возвращает пары имени/значения свойств:

   "createdOn": "2021-11-23T18:34:33.000Z",
   "updatedOn": "2021-11-23T18:34:33.000Z",
   "enabled": true,
   "recoverableDays": 90,
   "recoveryLevel": "Recoverable+Purgeable",
   "id": "https: //YOUR-KEYVAULT-NAME.vault.azure.net/secrets/secret1637692472606/YOUR-VERSION",
   "vaultUrl": "https: //YOUR-KEYVAULT-NAME.vault.azure.net",
   "version": "YOUR-VERSION",
   "name": "secret1637692472606"
   

Интеграция со службой "Конфигурация приложений"

Пакет SDK Azure предоставляет вспомогательный метод — parseKeyVaultSecretIdentifier для анализа заданного идентификатора секрета Key Vault. Это необходимо, если вы используете ссылки службы Конфигурация приложений на Key Vault. В конфигурации приложений хранится идентификатор секрета Key Vault. Чтобы получить имя секрета, необходимо выполнить анализ этого идентификатора с помощью метода parseKeyVaultSecretIdentifier. Получив имя секрета, можно получить текущее значение секрета с использованием кода из этого краткого руководства.

Следующие шаги

При работе с этим кратким руководством вы создали хранилище ключей, сохранили в нем секрет и извлекли его. Дополнительные сведения о Key Vault и его интеграции в приложения см. в следующих статьях.

• Обзор Azure Key Vault
• Обзор секретов Azure Key Vault
• Безопасный доступ к хранилищу ключей
• Руководство разработчика Azure Key Vault
• Статья Обзор системы безопасности Key Vault