Esercizio - Creare un insieme di credenziali delle chiavi e archiviare i segreti

  • 7 minuti

Creare insiemi di credenziali delle chiavi per le applicazioni

Una procedura consigliata prevede la creazione di un insieme di credenziali separato per ogni ambiente di distribuzione, ad esempio sviluppo, test e produzione, in ogni applicazione. È possibile usare un singolo insieme di credenziali per condividere segreti tra più app e ambienti. Tuttavia, se un utente malintenzionato ottiene l'accesso in lettura a un insieme di credenziali, l'impatto è proporzionale al numero di segreti nell'insieme di credenziali.

Suggerimento

Se si usano gli stessi nomi per i segreti nei diversi ambienti di un'applicazione, l'unica configurazione specifica dell'ambiente da modificare nell'app è l'URL dell'insieme di credenziali.

Per creare un insieme di credenziali non è necessaria alcuna configurazione iniziale. All'identità utente viene concesso automaticamente il set completo di autorizzazioni per la gestione dei segreti. È possibile iniziare ad aggiungere segreti immediatamente. Dopo aver creato un insieme di credenziali, l'aggiunta e la gestione dei segreti possono essere eseguite da qualsiasi interfaccia amministrativa di Azure, come il portale di Azure, l'interfaccia della riga di comando di Azure e Azure PowerShell. Quando si configura l'applicazione per l'uso dell'insieme di credenziali, è necessario assegnare le autorizzazioni corrette, come descritto nell'unità successiva.

Creare l'insieme di credenziali delle chiavi e archiviare il segreto

A causa di tutti i problemi verificatisi in azienda con i segreti delle applicazioni, i dirigenti hanno chiesto di creare una piccola app di base per indicare agli altri sviluppatori il percorso corretto. L'app deve illustrare le procedure consigliate per gestire i segreti nel modo più semplice e sicuro possibile.

Per iniziare, si crea un insieme di credenziali e vi si archivia un solo segreto.

Creare l'insieme di credenziali delle chiavi

I nomi degli insiemi di credenziali delle chiavi devono essere univoci a livello globale, per cui è necessario scegliere un nome univoco. I nomi degli insiemi di credenziali devono avere una lunghezza compresa tra 3 e 24 caratteri e contenere solo caratteri alfanumerici e trattini. Prendere nota del nome dell'insieme di credenziali scelto perché è necessario in questo esercizio.

Per creare l'insieme di credenziali, eseguire questo comando in Azure Cloud Shell. Assicurarsi di immettere un nome dell'insieme di credenziali univoco per il parametro --name.

az keyvault create \
    --resource-group "<rgn>[sandbox resource group name]</rgn>" \
    --location centralus \
    --name <your-unique-vault-name>

Al termine, viene visualizzato l'output JSON che descrive il nuovo insieme di credenziali.

Suggerimento

Comando usato per il gruppo di risorse precedentemente creato denominato [Gruppo di risorse sandbox]. Quando si lavora con la propria sottoscrizione, si potrebbe voler creare un nuovo gruppo di risorse o usarne uno esistente creato in precedenza.

Aggiungere il segreto

Ora aggiungere il segreto. Il segreto è denominato SecretPassword, con il valore reindeer_flotilla. Assicurarsi di sostituire <your-unique-vault-name> con il nome dell'insieme di credenziali creato nel parametro --vault-name.

az keyvault secret set \
    --name SecretPassword \
    --value reindeer_flotilla \
    --vault-name <your-unique-vault-name>

A breve si scriverà il codice per l'app, ma è prima necessario capire come l'app eseguirà l'autenticazione in un insieme di credenziali.