Início Rápido: Definir e recuperar uma chave do Azure Key Vault usando a CLI do Azure
Neste guia de início rápido, você cria um cofre de chaves no Azure Key Vault com CLI do Azure. O Azure Key Vault é um serviço de nuvem que funciona como um repositório de segredos seguro. Você pode armazenar chaves, senhas, certificados e outros segredos com segurança. Para saber mais sobre o Key Vault, analise a Visão geral. A CLI do Azure é usada para criar e gerenciar recursos do Azure usando comandos ou scripts. Quando concluir isso, você armazenará uma chave.
Caso você não tenha uma assinatura do Azure, crie uma conta gratuita do Azure antes de começar.
Pré-requisitos
Use o ambiente Bash no Azure Cloud Shell. Para obter mais informações, confira Início Rápido para Bash no Azure Cloud Shell.
Se preferir executar os comandos de referência da CLI localmente, instale a CLI do Azure. Para execuções no Windows ou no macOS, considere executar a CLI do Azure em um contêiner do Docker. Para obter mais informações, confira Como executar a CLI do Azure em um contêiner do Docker.
Se estiver usando uma instalação local, entre com a CLI do Azure usando o comando az login. Para concluir o processo de autenticação, siga as etapas exibidas no terminal. Para ver outras opções de entrada, confira Conectar-se com a CLI do Azure.
Quando solicitado, instale a extensão da CLI do Azure no primeiro uso. Para obter mais informações sobre extensões, confira Usar extensões com a CLI do Azure.
Execute az version para localizar a versão e as bibliotecas dependentes que estão instaladas. Para fazer a atualização para a versão mais recente, execute az upgrade.
- Este guia de início rápido exige a versão 2.0.4 ou posterior da CLI do Azure. Se você está usando o Azure Cloud Shell, a versão mais recente já está instalada.
Criar um grupo de recursos
Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Use o comando az group create para criar um grupo de recursos chamado myResourceGroup na localização eastus.
az group create --name "myResourceGroup" --location "EastUS"
Criar um cofre de chaves
Use o comando az keyvault create da CLI do Azure para criar um Key Vault no grupo de recursos da etapa anterior. Você precisará fornecer algumas informações:
Nome do cofre de chaves: uma cadeia de 3 a 24 caracteres contendo somente números (0-9), letras (a-z, A-Z) e hifens (-)
Importante
Cada cofre de chaves deve ter um nome exclusivo. Substitua <seu-nome-de cofre-de-chaves-exclusivo> pelo nome do seu cofre de chaves nos exemplos a seguir.
Nome do grupo de recursos: myResourceGroup.
A localização: EastUS.
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup"
A saída deste comando mostra as propriedades do cofre de chaves recém-criado. Anote estas duas propriedades:
- Nome do cofre: o nome que você forneceu ao parâmetro
--name
. - URI do cofre: neste exemplo, ele é https://<seu-nome-do-cofre-exclusivo>.vault.azure.net/. Aplicativos que usam seu cofre via API REST devem usar esse URI.
Dê aos usuários da conta permissões para gerenciar chaves no Key Vault
Para obter permissões para o cofre de chaves por meio do RBAC (controle de acesso baseado em função), atribua uma função ao seu UPN (nome principal do usuário) usando o comando da CLI do Azure az role assignment create.
az role assignment create --role "Key Vault Crypto Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Substitua <upn>, <subscription-id>, <resource-group-name> e <your-unique-keyvault-name> pelos valores reais. Seu UPN normalmente estará no formato de um endereço de email (por exemplo, username@domain.com).
Adicionar uma chave ao Key Vault
Para adicionar uma chave ao cofre, basta executar algumas etapas adicionais. Essa chave pode ser usada por um aplicativo.
Digite este comando para criar uma chave chamada ExampleKey:
az keyvault key create --vault-name "<your-unique-keyvault-name>" -n ExampleKey --protection software
Agora, você pode referenciar essa chave que foi adicionada ao Azure Key Vault usando o respectivo URI. Use https://<your-unique-keyvault-name>.vault.azure.net/keys/ExampleKey
para obter a versão atual.
Para ver a chave armazenada anteriormente:
az keyvault key show --name "ExampleKey" --vault-name "<your-unique-keyvault-name>"
Agora, você criou um Key Vault, armazenou uma chave e a recuperou.
Limpar os recursos
Outros guias de início rápido e tutoriais da coleção aproveitam esse guia de início rápido. Se você planeja continuar a trabalhar com os tutoriais e inícios rápidos subsequentes, deixe esses recursos onde estão.
Quando não forem mais necessários, você poderá usar o comando az group delete da CLI do Azure para remover o grupo de recursos e todos os recursos relacionados:
az group delete --name "myResourceGroup"
Próximas etapas
Neste início rápido, você criou um Key Vault e armazenou uma chave nele. Para saber mais sobre o Key Vault e como integrá-lo aos aplicativos, continue lendo estes artigos.
- Leia uma Visão geral do Azure Key Vault
- Confira a referência dos comandos az keyvault da CLI do Azure
- Examine a Visão geral de segurança do Key Vault