Início Rápido: Definir e recuperar uma chave do Azure Key Vault usando o Azure PowerShell

Neste início rápido, você criará um cofre de chaves no Azure Key Vault com o Azure PowerShell. O Azure Key Vault é um serviço de nuvem que funciona como um repositório de segredos seguro. Você pode armazenar chaves, senhas, certificados e outros segredos com segurança. Para saber mais sobre o Key Vault, analise a Visão geral. O Azure PowerShell é usado para criar e gerenciar recursos do Azure usando comandos ou scripts. Quando concluir isso, você armazenará uma chave.

Pré-requisitos

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

• Se você optar por usar o Azure PowerShell localmente:
  • Instale a versão mais recente do módulo do Az PowerShell.
  • Conecte-se à sua conta do Azure usando o cmdlet Connect-AzAccount.
• Se você optar por usar o Azure Cloud Shell:
  • Confira Visão geral do Azure Cloud Shell para obter mais informações.

Criar um grupo de recursos

Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Use o cmdlet New-AzResourceGroup do Azure PowerShell para criar um grupo de recursos chamado myResourceGroup na localização eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Criar um cofre de chaves

Use o cmdlet New-AzKeyVault do Azure PowerShell para criar um Key Vault no grupo de recursos da etapa anterior. Você precisa fornecer algumas informações:

• Nome do cofre de chaves: uma cadeia de 3 a 24 caracteres contendo somente números (0-9), letras (a-z, A-Z) e hifens (-)

  Importante

  Cada cofre de chaves deve ter um nome exclusivo. Substitua <seu-nome-de cofre-de-chaves-exclusivo> pelo nome do seu cofre de chaves nos exemplos a seguir.

• Nome do grupo de recursos: myResourceGroup.

• A localização: EastUS.

New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"

A saída desse cmdlet mostra as propriedades do cofre de chaves criado recentemente. Anote estas duas propriedades:

• Nome do Cofre: o nome que você forneceu ao parâmetro -Name.
• URI do Cofre: no exemplo, esse URI é https://<your-unique-keyvault-name>.vault.azure.net/. Aplicativos que usam seu cofre via API REST devem usar esse URI.

Nesse ponto, sua conta do Azure é a única autorizada a executar qualquer operação nesse novo cofre.

Dê aos usuários da conta permissões para gerenciar segredos no Key Vault

Para obter permissões para o cofre de chaves por meio do RBAC (controle de acesso baseado em função), atribua uma função ao seu UPN (nome principal do usuário) usando o cmdlet do Azure PowerShell New-AzRoleAssignment.

New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Crypto Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Substitua <upn>, <subscription-id>, <resource-group-name> e <your-unique-keyvault-name> pelos valores reais. Seu UPN normalmente estará no formato de um endereço de email (por exemplo, username@domain.com).

Adicionar uma chave ao Key Vault

Para adicionar uma chave ao cofre, basta executar algumas etapas adicionais. Essa chave pode ser usada por um aplicativo.

Digite este comando para criar um ExampleKey chamado:

Add-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -Name "ExampleKey" -Destination "Software"

Agora, você pode referenciar essa chave que foi adicionada ao Azure Key Vault usando o respectivo URI. Use https://<your-unique-keyvault-name>.vault.azure.net/keys/ExampleKey para obter a versão atual.

Para ver a chave armazenada anteriormente:

Get-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -KeyName "ExampleKey"

Agora, você criou um Key Vault, armazenou uma chave e a recuperou.

Limpar os recursos

Outros guias de início rápido e tutoriais da coleção aproveitam esse guia de início rápido. Se você planeja continuar a trabalhar com outros tutoriais e inícios rápidos, deixe esses recursos onde estão.

Quando o grupo de recursos e todos os recursos relacionados não forem mais necessários, use o cmdlet Remove-AzResourceGroup do Azure PowerShell para removê-los.

Remove-AzResourceGroup -Name "myResourceGroup"

Próximas etapas

Neste início rápido, você criou um Key Vault e armazenou um certificado nele. Para saber mais sobre o Key Vault e como integrá-lo aos aplicativos, continue lendo estes artigos.

• Leia uma Visão geral do Azure Key Vault
• Confira a referência dos cmdlets do Key Vault do Azure PowerShell
• Examine a Visão geral de segurança do Key Vault