Exercício - Crie um Cofre de Chaves e armazene segredos

  • 7 minutos

Crie Cofres de Chaves para as suas aplicações

Uma prática recomendada é criar um cofre separado para cada ambiente de implantação de cada um dos seus aplicativos, como desenvolvimento, teste e produção. Pode utilizar um único cofre para armazenar segredos para múltiplas aplicações e ambientes, mas lembre-se de que o risco de um atacante obter acesso de leitura a um cofre aumenta com o número de segredos no cofre.

Gorjeta

Se você usar os mesmos nomes para segredos em ambientes diferentes para um aplicativo, a única configuração específica do ambiente que você precisa alterar em seu aplicativo é a URL do cofre.

Criar um cofre não requer qualquer configuração inicial. Sua identidade de usuário recebe automaticamente o conjunto completo de permissões de gerenciamento secreto. Você pode começar a adicionar segredos imediatamente. Depois de ter um cofre, você pode adicionar e gerenciar segredos de qualquer interface administrativa do Azure, incluindo o portal do Azure, a CLI do Azure e o Azure PowerShell. Ao configurar seu aplicativo para usar o cofre, você precisa atribuir as permissões corretas a ele, conforme descrito na próxima unidade.

Crie o cofre da chave e armazene o segredo nele

Dado todo o problema que a empresa tem tido com segredos de aplicativos, a gerência pede que você crie um pequeno aplicativo inicial para colocar os outros desenvolvedores no caminho certo. A aplicação precisa de mostrar as melhores práticas para a gestão de segredos, da forma mais simples e mais segura possível.

Para começar, crie um cofre e armazene um segredo nele.

Criar o Cofre da Chave

Os nomes do Cofre da Chave devem ser globalmente exclusivos, portanto, escolha um nome exclusivo. Os nomes do cofre têm de ter entre 3 e 24 carateres de comprimento e conter apenas carateres alfanuméricos e travessões. Anote o nome do cofre que você escolher, porque você precisa dele ao longo deste exercício.

Para criar seu cofre, execute o seguinte comando no Azure Cloud Shell. Certifique-se de inserir o nome exclusivo do --name cofre no parâmetro.

az keyvault create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --location centralus \
    --name <your-unique-vault-name>

Quando terminar, você verá a saída JSON descrevendo o novo cofre.

Gorjeta

O comando utilizou o grupo de recursos previamente criado com o nome [Grupo de Recursos do sandox]. Ao trabalhar com sua própria assinatura, convém criar um novo grupo de recursos ou usar um existente criado anteriormente.

Adicionar o segredo

Agora, adicione o segredo. Nosso segredo é nomeado SecretPassword com um valor de reindeer_flotilla. Certifique-se de substituir <your-unique-vault-name> pelo nome do cofre que você criou no --vault-name parâmetro.

az keyvault secret set \
    --name SecretPassword \
    --value reindeer_flotilla \
    --vault-name <your-unique-vault-name>

Você escreverá o código para seu aplicativo em breve, mas primeiro você precisa aprender um pouco sobre como seu aplicativo será autenticado em um cofre.