Öğretici: Azure Key Vault'a erişmek için Windows VM sistem tarafından atanan yönetilen kimlik kullanma

Azure kaynakları için yönetilen kimlikler bir Azure Active Directory özelliğidir. Azure kaynakları için yönetilen kimlikleri destekleyen Azure hizmetlerinin her biri kendi zaman çizelgesine tabidir. Başlamadan önce kaynağınıza yönelik yönetilen kimliklerin kullanılabilirlik durumunu ve bilinen sorunları gözden geçirdiğinizden emin olun.

Bu öğreticide, bir Windows sanal makinesinin (VM) Azure Key Vaulterişmek için sistem tarafından atanan yönetilen kimliği nasıl kullanabileceği gösterilmektedir. Önyükleme görevi gören Key Vault, istemci uygulamanızın Azure Active Directory (AD) ile güvenliği olmayan kaynaklara erişmek için gizli dizi kullanmasını mümkün kılar. Yönetilen hizmet kimlikleri Azure tarafından otomatik olarak yönetilir ve kodunuzda kimlik doğrulama bilgilerini eklemeden Azure AD kimlik doğrulamasını destekleyen hizmetlere kimlik doğrulaması uygulamanızı sağlar.

Aşağıdakileri nasıl yapacağınızı öğrenirsiniz:

  • VM'nize Key Vault'ta depolanan gizli diziye erişim verme
  • VM kimliği kullanarak erişim belirteci alma ve Key Vault'tan gizli diziyi almak için bunu kullanma

Önkoşullar

Anahtar kasası oluşturma

Bu bölümde, VM 'nizin Key Vault depolanan bir gizli dizi erişimine nasıl izin vereceğiniz gösterilmektedir. Azure kaynakları için yönetilen kimlikler kullanıldığında kodunuz Azure AD kimlik doğrulamasını destekleyen kaynaklarda kimlik doğrulaması yapmak için erişim belirteçleri alabilir.Bununla birlikte, Azure hizmetlerinin tümü Azure AD kimlik doğrulamasını desteklemez. Söz konusu hizmetlerle Azure kaynakları için yönetilen kimlikleri kullanmak için, hizmet kimlik bilgilerini Azure Key Vault'ta depolayın ve VM’nin yönetilen kimliğini kullanarak Key Vault'a erişip kimlik bilgilerini alın.

İlk olarak, Key Vault'u oluşturmalı ve VM'mize Key Vault üzerinde sistem tarafından atanan yönetilen kimlik erişimi vermeliyiz.

  1. Azure portalını açın

  2. Sol gezinti çubuğunun üst kısmında kaynak oluştur ' u seçin.

  3. Market 'te Ara kutusuna Key Vault yazın ve ENTER tuşuna basın.

  4. Sonuçlardan Key Vault seçin.

  5. Oluştur’u seçin

  6. Yeni Key Vault için bir Ad belirtin.

    Anahtar Kasası ekranı oluşturma

  7. Bu öğretici için kullandığınız sanal makineyi oluşturduğunuz aboneliği ve kaynak grubunu seçtiğinizden emin olarak tüm gerekli bilgileri doldurun.

  8. Gözden geçir + oluştur ' u seçin

  9. Oluştur’u seçin

Gizli anahtar oluşturma

Ardından, Key Vault bir gizli dizi ekleyin, böylece daha sonra sanal makinenizde çalışan kodu kullanarak elde edebilirsiniz. Bu öğreticinin amacı doğrultusunda PowerShell kullanıyoruz, ancak aynı kavramlar bu sanal makinede yürütülen tüm kodlar için geçerlidir.

  1. Yeni oluşturduğunuz Key Vault gidin.

  2. Gizli Diziler'i seçin ve Ekle'ye tıklayın.

  3. Oluştur/Içeri aktar 'ı seçin

  4. Karşıya yükleme seçeneklerinden gizli bir ekran oluştur bölümünde el ile seçili bırakın.

  5. Gizli dizi için bir ad ve değer girin. Değer, istediğiniz herhangi bir şey olabilir.

  6. Etkinleştirme tarihi ile sona erme tarihini boş bırakın ve Etkin seçeneğini Evet değerinde bırakın.

  7. Gizli diziyi oluşturmak için Oluştur'a tıklayın.

    Gizli anahtar oluşturma

Erişim verme

Sanal makine tarafından kullanılan yönetilen kimliğe, Key Vault depolayabilmemiz için gizli dizi okumak üzere erişim verilmesi gerekir.

  1. Yeni oluşturduğunuz Key Vault gidin

  2. Sol taraftaki menüden erişim ilkesi ' ni seçin.

  3. Erişim Ilkesi Ekle ' yi seçin

    Anahtar Kasası erişim ilkesi oluşturma ekranı

  4. Şablondan Yapılandır altındaki erişim Ilkesi Ekle bölümünde (isteğe bağlı) aşağı açılan menüden gizli yönetim ' i seçin.

  5. Sorumlu Seç'i seçin ve arama alanına daha önce oluşturduğunuz VM'nin adını girin. Sonuç listesinde VM 'yi seçin ve Seç' i seçin.

  6. Ekle’yi seçin

  7. Kaydet’i seçin.

Verilere erişme

Bu bölüm, VM kimliğini kullanarak bir erişim belirtecinin nasıl alınacağını ve Key Vault gizli anahtarı almak için nasıl kullanılacağını gösterir. PowerShell 4.3.1 veya üstünü yüklemediyseniz, en son sürümü indirip yüklemeniz gerekir.

İlk olarak, Key Vault'ta kimlik doğrulaması yapmak üzere erişim belirteci almak için VM’nin sistem tarafından atanan yönetilen kimliğini kullanırız:

  1. Portalda, Sanal Makineler'e ve Windows sanal makinenize gidin, ardından Genel Bakış'ta Bağlan'a tıklayın.
  2. Windows VM'sini oluştururken eklendiğiniz hesabın Kullanıcı adı ve Parola değerlerini girin.
  3. Artık sanal makineyle Uzak Masaüstü Bağlantısı'nı oluşturduğunuza göre, uzak oturumda PowerShell'i açın.
  4. PowerShell'de, VM için belirtilen bağlantı noktasında yerel konağın belirtecini almak üzere kiracıda web isteğini çağırın.

PowerShell isteği:

$Response = Invoke-RestMethod -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fvault.azure.net' -Method GET -Headers @{Metadata="true"} 

Yanıtın aşağıdaki gibi göründüğünü görebilirsiniz:

belirteç yanıtıyla istek

Ardından, yanıttan erişim belirtecini ayıklayın.

   $KeyVaultToken = $Response.access_token

Son olarak, PowerShell’in Invoke-WebRequest komutunu kullanarak Authorization üst bilgisindeki erişim belirtecini geçirerek Key Vault'ta daha önce oluşturmuş olduğunuz gizli bilgiyi alın. Key Vault'unuzun URL'sine ihtiyacınız olacaktır. Bu URL, Key Vault'un Genel Bakış sayfasındaki Temel Parçalar bölümünde yer alır.

Invoke-RestMethod -Uri https://<your-key-vault-URL>/secrets/<secret-name>?api-version=2016-10-01 -Method GET -Headers @{Authorization="Bearer $KeyVaultToken"}

Yanıt şöyle görünür:

  value       id                                                                                    attributes
  -----       --                                                                                    ----------
  'My Secret' https://mi-lab-vault.vault.azure.net/secrets/mi-test/50644e90b13249b584c44b9f712f2e51 @{enabled=True; created=16…

Key Vault'tan gizli diziyi aldıktan sonra, bunu kullanarak ad ve parola gerektiren bir hizmette kimlik doğrulaması yapabilirsiniz.

Kaynakları temizleme

Kaynakları temizlemek istediğinizde, Azure Portalziyaret edin, kaynak grupları' nı seçin, Bu öğreticinin işleminde oluşturulan kaynak grubunu bulun (gibi mi-test ) ve ardından kaynak grubunu sil komutunu kullanın.

Alternatif olarak bunu PowerShell veya CLI aracılığıyla da yapabilirsiniz

Sonraki adımlar

Bu öğreticide, Azure Key Vault erişmek için Windows VM sistem tarafından atanan bir yönetilen kimlik kullanmayı öğrendiniz. Azure Key Vault hakkında daha fazla bilgi edinmek için bkz: