Início Rápido: definir e recuperar um segredo do Azure Key Vault usando o PowerShell
O Azure Key Vault é um serviço de nuvem que funciona como um repositório de segredos seguro. Você pode armazenar chaves, senhas, certificados e outros segredos com segurança. Para saber mais sobre o Key Vault, reveja a Visão geral. Neste início rápido, você usará o Azure PowerShell para criar um cofre de chaves. Em seguida, você armazenará o segredo no cofre recém-criado.
Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
Azure Cloud Shell
O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que pode ser usado por meio do navegador. É possível usar o bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. É possível usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada no seu ambiente local.
Para iniciar o Azure Cloud Shell:
Opção | Exemplo/Link |
---|---|
Selecione Experimentar no canto superior direito de um bloco de código ou de comando. Selecionar Experimentar não copia automaticamente o código nem o comando para o Cloud Shell. | |
Acesse https://shell.azure.com ou selecione o botão Iniciar o Cloud Shell para abri-lo no navegador. | |
Selecione o botão Cloud Shell na barra de menus no canto superior direito do portal do Azure. |
Para usar o Azure Cloud Shell:
Inicie o Cloud Shell.
Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou o comando.
Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e no Linux, ou selecionando Cmd+Shift+V no macOS.
Selecione Enter para executar o código ou o comando.
Se você optar por instalar e usar o PowerShell localmente, este tutorial exigirá o módulo do Azure PowerShell versão 5.0.0 ou posterior. Digite Get-InstalledModule -Name Az
para encontrar a versão. Se você precisa atualizar, consulte Como instalar o Azure PowerShell. Se você estiver executando o PowerShell localmente, também precisará executar o Connect-AzAccount
para criar uma conexão com o Azure.
Connect-AzAccount
Criar um grupo de recursos
Um grupo de recursos é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. Use o cmdlet New-AzResourceGroup do Azure PowerShell para criar um grupo de recursos chamado myResourceGroup na localização eastus.
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Criar um cofre de chaves
Use o cmdlet New-AzKeyVault do Azure PowerShell para criar um Key Vault no grupo de recursos da etapa anterior. Você precisa fornecer algumas informações:
Nome do cofre de chaves: uma cadeia de 3 a 24 caracteres contendo somente números (0-9), letras (a-z, A-Z) e hifens (-)
Importante
Cada cofre de chaves deve ter um nome exclusivo. Substitua <seu-nome-de cofre-de-chaves-exclusivo> pelo nome do seu cofre de chaves nos exemplos a seguir.
Nome do grupo de recursos: myResourceGroup.
A localização: EastUS.
New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"
A saída desse cmdlet mostra as propriedades do cofre de chaves criado recentemente. Anote estas duas propriedades:
- Nome do Cofre: o nome que você forneceu ao parâmetro -Name.
- URI do Cofre: no exemplo, esse URI é https://<your-unique-keyvault-name>.vault.azure.net/. Aplicativos que usam seu cofre via API REST devem usar esse URI.
Nesse ponto, sua conta do Azure é a única autorizada a executar qualquer operação nesse novo cofre.
Dê aos usuários da conta permissões para gerenciar segredos no Key Vault
Para obter permissões para o cofre de chaves por meio do RBAC (controle de acesso baseado em função), atribua uma função ao seu UPN (nome principal do usuário) usando o cmdlet do Azure PowerShell New-AzRoleAssignment.
New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Secrets Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Substitua <upn>, <subscription-id>, <resource-group-name> e <your-unique-keyvault-name> pelos valores reais. Seu UPN normalmente estará no formato de um endereço de email (por exemplo, username@domain.com).
Adicionando um segredo ao Key Vault
Para adicionar um segredo ao cofre, basta executar algumas etapas. Nesse caso, adicione uma senha que pode ser usada por um aplicativo. A senha é chamada ExamplePassword e armazena o valor hVFkk965BuUv nela.
Primeiro, execute o seguinte comando e insira o valor hVFkk965BuUv quando solicitado a convertê-lo em uma string segura:
$secretvalue = Read-Host -Prompt 'Enter the example password' -AsSecureString
Em seguida, use o cmdlet Set-AzKeyVaultSecret do Azure PowerShell para criar um segredo no Key Vault chamado ExamplePassword com o valor hVFkk965BuUv:
$secret = Set-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -SecretValue $secretvalue
Recuperar um segredo do Key Vault
Para ver o valor contido no segredo como um texto sem formatação, use o cmdlet Get-AzKeyVaultSecret do Azure PowerShell:
$secret = Get-AzKeyVaultSecret -VaultName "<your-unique-keyvault-name>" -Name "ExamplePassword" -AsPlainText
Agora, você criou um Key Vault, armazenou um segredo e o recuperou.
Limpar os recursos
Outros guias de início rápido e tutoriais da coleção aproveitam esse guia de início rápido. Se você planeja continuar a trabalhar com outros tutoriais e inícios rápidos, deixe esses recursos onde estão.
Quando não for mais necessário, use o comando Remove-AzResourceGroup para remover o grupo de recursos, o Key Vault e todos os recursos relacionados.
Remove-AzResourceGroup -Name myResourceGroup
Próximas etapas
Neste início rápido, você criou um Key Vault e armazenou um segredo nele. Para saber mais sobre o Key Vault e como integrá-lo a seus aplicativos, confira os artigos abaixo.
- Leia uma Visão geral do Azure Key Vault
- Saiba como armazenar segredos de várias linhas no Key Vault
- Confira a referência dos cmdlets do Key Vault do Azure PowerShell
- Examine a Visão geral de segurança do Key Vault