Övning – Skapa ett Key Vault och lagra hemligheter

  • 7 minuter

Skapa Key Vaults för dina program

Bästa praxis är att skapa ett separat valv för varje distributionsmiljö för vart och ett av dina program, till exempel utveckling, testning och produktion. Du kan använda ett enda valv för att lagra hemligheter för flera appar och miljöer, men risken att en angripare får läsåtkomst till ett valv ökar med antalet hemligheter i valvet.

Dricks

Om du använder samma namn för hemligheter i olika miljöer för ett program är den enda miljöspecifika konfiguration som du behöver ändra i appen valvets URL.

Det krävs ingen inledande konfiguration för att skapa ett valv. Din användaridentitet beviljas automatiskt den fullständiga uppsättningen behörigheter för hemlig hantering. Du kan börja lägga till hemligheter direkt. När du har ett valv kan du lägga till och hantera hemligheter från valfritt administrativt Azure-gränssnitt, inklusive Azure-portalen, Azure CLI och Azure PowerShell. När du konfigurerar programmet för att använda valvet måste du tilldela rätt behörigheter till det, enligt beskrivningen i nästa lektion.

Skapa nyckelvalvet och lagra hemligheten i det

Med tanke på alla problem som företaget har haft med programhemligheter ber ledningen dig att skapa en liten startapp för att ställa in de andra utvecklarna på rätt väg. Appen ska visa metodtips för att hantera hemligheter så enkelt och säkert som möjligt.

Börja genom att skapa ett valv och lagra en hemlighet i det.

Skapa Key Vault

Key Vault-namn måste vara globalt unika, så välj ett unikt namn. Valvnamn måste vara mellan 3 och 24 tecken långa och får endast innehålla alfanumeriska tecken och streck. Anteckna valvnamnet du väljer eftersom du behöver det under hela den här övningen.

Skapa valvet genom att köra följande kommando i Azure Cloud Shell. Ange ditt unika valvnamn i parametern --name .

az keyvault create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --location centralus \
    --name <your-unique-vault-name>

När det är klart visas JSON-utdata som beskriver det nya valvet.

Dricks

Kommandot använde resursgruppen [resursgruppsnamn för sandbox] som har skapats på förhand. När du arbetar med din egen prenumeration vill du antingen skapa en ny resursgrupp eller använda en befintlig som du skapade tidigare.

Lägga till en hemlighet

Lägg nu till hemligheten. Vår hemlighet heter SecretPassword med värdet reindeer_flotilla. Ersätt <your-unique-vault-name> med valvnamnet som du skapade i parametern --vault-name .

az keyvault secret set \
    --name SecretPassword \
    --value reindeer_flotilla \
    --vault-name <your-unique-vault-name>

Du kommer snart att skriva koden för din app, men först behöver du lära dig lite om hur din app ska autentisera till ett valv.