Hızlı Başlangıç: Python için Azure Key Vault anahtarları istemci kitaplığı

  • Makale

Python için Azure Key Vault istemci kitaplığını kullanmaya başlayın. Paketi yüklemek için bu adımları izleyin ve temel görevler için örnek kodu deneyin. Şifreleme anahtarlarını depolamak için Key Vault kullanarak bu tür anahtarları kodunuzda depolamaktan kaçınarak uygulamanızın güvenliğini artırırsınız.

API başvuru belgeleri | Kitaplık kaynak kodu | Paketi (Python Paket Dizini)

Önkoşullar

Bu hızlı başlangıçta, Linux terminal penceresinde Azure CLI veya Azure PowerShell çalıştırdığınız varsayılır.

Yerel ortamınızı ayarlama

Bu hızlı başlangıç, azure hizmetlerinde kullanıcının kimliğini doğrulamak için Azure CLI veya Azure PowerShell ile Azure Kimlik kitaplığını kullanmaktır. Geliştiriciler, aramalarının kimliğini doğrulamak için Visual Studio veya Visual Studio Code da kullanabilir. Daha fazla bilgi için bkz . Azure Identity istemci kitaplığıyla istemcinin kimliğini doğrulama.

Azure'da oturum açma

  1. login komutunu çalıştırın.

    az login

    CLI varsayılan tarayıcınızı açabiliyorsa bunu yapar ve bir Azure oturum açma sayfası yükler.

    Aksi takdirde adresinde bir tarayıcı sayfası https://aka.ms/devicelogin açın ve terminalinizde görüntülenen yetkilendirme kodunu girin.

  2. Tarayıcıda hesabınızın kimlik bilgileriyle oturum açın.

Paketleri yükleme

  1. Terminalde veya komut isteminde uygun bir proje klasörü oluşturun ve python sanal ortamlarını kullanma konusunda açıklandığı gibi bir Python sanal ortamı oluşturup etkinleştirin.

  2. Microsoft Entra kimlik kitaplığını yükleyin:

    pip install azure-identity

  3. Key Vault anahtar istemci kitaplığını yükleyin:

    pip install azure-keyvault-keys

Kaynak grubu ve anahtar kasası oluşturma

  1. az group create Kaynak grubu oluşturmak için komutunu kullanın:

    az group create --name myResourceGroup --location eastus

    İsterseniz "eastus" değerini size daha yakın bir konuma değiştirebilirsiniz.

  2. Anahtar kasasını oluşturmak için kullanın az keyvault create :

    az keyvault create --name <your-unique-keyvault-name> --resource-group myResourceGroup

    değerini tüm Azure'da benzersiz bir adla değiştirin <your-unique-keyvault-name> . Genellikle kişisel veya şirket adınızı diğer numaralar ve tanımlayıcılarla birlikte kullanırsınız.

KEY_VAULT_NAME ortam değişkenini ayarlama

Betiğimiz, anahtar kasasının KEY_VAULT_NAME adı olarak ortam değişkenine atanan değeri kullanır. Bu nedenle aşağıdaki komutu kullanarak bu değeri ayarlamanız gerekir:

export KEY_VAULT_NAME=<your-unique-keyvault-name>

Anahtar kasanıza erişim izni verme

Rol Tabanlı Erişim Denetimi (RBAC) aracılığıyla uygulamanıza anahtar kasanıza izin vermek için az role assignment create Azure CLI komutunu kullanarak bir rol atayın.

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

App-id>, subscription-id>, <resource-group-name> ve <your-unique-keyvault-name> değerlerini gerçek değerlerinizle değiştirin<<. <app-id> , Azure AD'de kayıtlı uygulamanızın Uygulama (istemci) kimliğidir.

Örnek kodu oluşturma

Python için Azure Key Vault anahtar istemci kitaplığı, şifreleme anahtarlarını yönetmenize olanak tanır. Aşağıdaki kod örneğinde istemci oluşturma, anahtar ayarlama, anahtar alma ve anahtarı silme işlemleri gösterilmektedir.

Bu kodu içeren kv_keys.py adlı bir dosya oluşturun.

import os
from azure.keyvault.keys import KeyClient
from azure.identity import DefaultAzureCredential

keyVaultName = os.environ["KEY_VAULT_NAME"]
KVUri = "https://" + keyVaultName + ".vault.azure.net"

credential = DefaultAzureCredential()
client = KeyClient(vault_url=KVUri, credential=credential)

keyName = input("Input a name for your key > ")

print(f"Creating a key in {keyVaultName} called '{keyName}' ...")

rsa_key = client.create_rsa_key(keyName, size=2048)

print(" done.")

print(f"Retrieving your key from {keyVaultName}.")

retrieved_key = client.get_key(keyName)

print(f"Key with name '{retrieved_key.name}' was found.")
print(f"Deleting your key from {keyVaultName} ...")

poller = client.begin_delete_key(keyName)
deleted_key = poller.result()

print(" done.")

Kodu çalıştırma

Önceki bölümdeki kodun kv_keys.py adlı bir dosyada olduğundan emin olun. Ardından aşağıdaki komutla kodu çalıştırın:

python kv_keys.py

Kodun aynı anahtar adıyla yeniden çalıştırılması "(Çakışma) Anahtar <adı> şu anda silinmiş ancak kurtarılabilir durumda" hatasını verebilir. Farklı bir anahtar adı kullanın.

Kod ayrıntıları

Kimlik doğrulaması yapma ve istemci oluşturma

Çoğu Azure hizmeti için uygulama istekleri yetkilendirilmelidir. Azure Identity istemci kitaplığı tarafından sağlanan DefaultAzureCredential sınıfının kullanılması, kodunuzda Azure hizmetlerine parolasız bağlantılar uygulamak için önerilen yaklaşımdır. DefaultAzureCredential birden çok kimlik doğrulama yöntemini destekler ve çalışma zamanında hangi yöntemin kullanılacağını belirler. Bu yaklaşım, uygulamanızın ortama özgü kod uygulamadan farklı ortamlarda (yerel ve üretim) farklı kimlik doğrulama yöntemleri kullanmasını sağlar.

Bu hızlı başlangıçta, DefaultAzureCredential Azure CLI'da oturum açmış yerel geliştirme kullanıcısının kimlik bilgilerini kullanarak anahtar kasasında kimlik doğrulaması yapar. Uygulama Azure'a dağıtıldığında, aynı DefaultAzureCredential kod App Service, Sanal Makine veya diğer hizmetlere atanan yönetilen kimliği otomatik olarak bulabilir ve kullanabilir. Daha fazla bilgi için bkz . Yönetilen Kimliğe Genel Bakış.

Örnek kodda anahtar kasanızın adı değişkeninin KVUri değeri kullanılarak "https://< your-key-vault-name.vault.azure.net>" biçiminde genişletilir.

credential = DefaultAzureCredential()
client = KeyClient(vault_url=KVUri, credential=credential)

Anahtarı kaydetme

Anahtar kasası için istemci nesnesini aldıktan sonra, create_rsa_key yöntemini kullanarak bir anahtar depolayabilirsiniz:

rsa_key = client.create_rsa_key(keyName, size=2048)

create_key veya create_ec_key da kullanabilirsiniz.

Bir create yöntemi çağırmak, anahtar kasası için Azure REST API'sine bir çağrı oluşturur.

Azure isteği işlediğinde, istemciye sağladığınız kimlik bilgisi nesnesini kullanarak çağıranın kimliğini (hizmet sorumlusu) doğrular.

Anahtar alma

Key Vault'tan bir anahtarı okumak için get_key yöntemini kullanın:

retrieved_key = client.get_key(keyName)

Anahtarın az keyvault key show Azure CLI komutu veya Get-AzKeyVaultKey Azure PowerShell cmdlet'i ile ayarlandığını da doğrulayabilirsiniz.

Anahtar silme

Anahtarı silmek için begin_delete_key yöntemini kullanın:

poller = client.begin_delete_key(keyName)
deleted_key = poller.result()

begin_delete_key yöntemi zaman uyumsuzdur ve bir poller nesnesi döndürür. Poller'ın result yöntemini çağırmak, tamamlanmasını bekler.

Anahtarın silindiğini az keyvault key show Azure CLI komutuyla veya Get-AzKeyVaultKey Azure PowerShell cmdlet'iyle doğrulayabilirsiniz.

Bir anahtar silindikten sonra bir süre için silinmiş ancak kurtarılabilir durumda kalır. Kodu yeniden çalıştırırsanız farklı bir anahtar adı kullanın.

Kaynakları temizleme

Sertifikalar ve gizli dizilerle de deneme yapmak istiyorsanız, bu makalede oluşturulan Key Vault'ı yeniden kullanabilirsiniz.

Aksi takdirde, bu makalede oluşturulan kaynaklarla işiniz bittiğinde, kaynak grubunu ve içerdiği tüm kaynakları silmek için aşağıdaki komutu kullanın:

az group delete --resource-group myResourceGroup

Sonraki adımlar