Condividi tramite


Guida introduttiva: Impostare e recuperare una chiave da Azure Key Vault tramite l'interfaccia della riga di comando di Azure

In questo argomento di avvio rapido viene creato un insieme di credenziali delle chiavi in Azure Key Vault con l'interfaccia della riga di comando di Azure. Azure Key Vault è un servizio cloud che funziona come archivio protetto dei segreti. È possibile archiviare in modo sicuro chiavi, password, certificati e altri segreti. Per altre informazioni su Key Vault, vedere la relativa panoramica. L'interfaccia della riga di comando di Azure viene usata per creare e gestire le risorse di Azure con comandi o script. Successivamente, verrà archiviata una chiave.

Se non si ha una sottoscrizione di Azure, creare un account Azure gratuito prima di iniziare.

Prerequisiti

  • Questa guida di avvio rapido richiede l'interfaccia della riga di comando di Azure versione 2.0.4 o successiva. Se si usa Azure Cloud Shell, la versione più recente è già installata.

Creare un gruppo di risorse

Un gruppo di risorse è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. Usare il comando az group create per creare un gruppo di risorse denominato myResourceGroup nell'area eastus.

az group create --name "myResourceGroup" --location "EastUS"

Creare un insieme di credenziali delle chiavi

Usare il comando az keyvault create dell'interfaccia della riga di comando di Azure per creare un'istanza di Key Vault nel gruppo di risorse del passaggio precedente. Sarà necessario specificare alcune informazioni:

  • Nome Key Vault: una stringa contenente da 3 a 24 caratteri, limitati a numeri (0-9), lettere (a-z, A-Z) e trattini (-)

    Importante

    Ogni insieme di credenziali delle chiavi deve avere un nome univoco. Negli esempi seguenti, sostituire <your-unique-keyvault-name> con il nome dell'istanza dell’insieme di credenziali delle chiavi in uso.

  • Nome del gruppo di risorse: myResourceGroup.

  • Posizione: EastUS.

az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup"

L'output di questo comando mostra le proprietà dell'istanza di Key Vault appena creata. Prendere nota delle due proprietà seguenti:

  • Nome dell’insieme di credenziali: nome specificato per il parametro --name.
  • URI dell’insieme di credenziali: in questo esempio, l’URI dell’insieme di credenziali è https://<your-unique-keyvault-name>.vault.azure.net/. Le applicazioni che usano l'insieme di credenziali tramite l'API REST devono usare questo URI.

Concedere all'account utente le autorizzazioni per gestire le chiavi in Key Vault

Per ottenere le autorizzazioni per l’insieme di credenziali delle chiavi tramite il controllo degli accessi in base al ruolo (RBAC), assegnare un ruolo all’UPN (User Principal Name) usando il comando dell’interfaccia della riga di comando di Azure az role assignment create.

az role assignment create --role "Key Vault Crypto Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Sostituire <upn>, <subscription-id>, <resource-group-name> e <your-unique-keyvault-name> con i valori effettivi. L'UPN in genere sarà nel formato di un indirizzo e-mail (ad esempio, username@domain.com).

Aggiungere una chiave a Key Vault

Per aggiungere una chiave a Key Vault, sono sufficienti un paio di passaggi aggiuntivi. Questa chiave può essere usata da un'applicazione.

Digitare i comandi seguenti per creare una chiave denominata ExampleKey:

az keyvault key create --vault-name "<your-unique-keyvault-name>" -n ExampleKey --protection software

È ora possibile fare riferimento a questa chiave aggiunta ad Azure Key Vault usando il relativo URI. Usare https://<your-unique-keyvault-name>.vault.azure.net/keys/ExampleKey per ottenere la versione corrente.

Per visualizzare la chiave archiviata in precedenza:


az keyvault key show --name "ExampleKey" --vault-name "<your-unique-keyvault-name>"

A questo punto, è stata creata un'istanza di Key Vault nella quale è stata archiviata e recuperata una chiave.

Pulire le risorse

Altre guide introduttive ed esercitazioni della raccolta si basano su questa. Se si prevede di usare le guide introduttive e le esercitazioni successive, è consigliabile non cancellare le risorse create.

Quando non sono più necessari, è possibile rimuovere il gruppo di risorse e tutte le risorse correlate tramite il comando az group delete dell'interfaccia della riga di comando di Azure:

az group delete --name "myResourceGroup"

Passaggi successivi

In questa guida di avvio rapido è stata creata un'istanza di Key Vault in cui è stata archiviata una chiave. Per altre informazioni sul servizio Key Vault e su come integrarlo nelle applicazioni, continuare con questi articoli.