Exercício – Criar um cofre de chaves e armazenar segredos
Criar cofres de chaves para seus aplicativos
Uma melhor prática é criar um cofre separado para cada ambiente de implantação de cada um de seus aplicativos, como desenvolvimento, teste e produção. É possível usar um único cofre para armazenar segredos para vários aplicativos e ambientes, mas o impacto de um invasor obter acesso de leitura a um cofre aumenta com o número de segredos no cofre.
Dica
Se você usar os mesmos nomes de segredos em ambientes diferentes para um aplicativo, a única configuração específica do ambiente que precisará ser alterada no aplicativo será a URL do cofre.
A criação de um cofre não exige nenhuma configuração inicial. A identidade de usuário recebe automaticamente o conjunto completo de permissões de gerenciamento de segredos. Você pode começar a adicionar segredos imediatamente. Depois que tiver um cofre, você poderá adicionar e gerenciar segredos de qualquer interface administrativa do Azure, incluindo o portal do Azure, a CLI do Azure e o Azure PowerShell. Quando você configurar seu aplicativo para usar o cofre, precisará atribuir as permissões corretas a ele, conforme descrito na próxima unidade.
Criar o cofre de chaves e armazenar o segredo nele
Dado todo o problema que a empresa tem tido com os segredos do aplicativo. A equipe de gestão solicita que você crie um pequeno aplicativo inicial para colocar os outros desenvolvedores no caminho certo. O aplicativo precisa demonstrar as melhores práticas para o gerenciamento de segredos da forma mais simples e segura possível.
Para começar, crie um cofre e armazene um segredo nele.
Criar o Key Vault
Os nomes do cofre de chaves precisam ser globalmente exclusivos e, portanto, você precisará escolher um nome exclusivo. Os nomes de cofre precisam ter de 3 a 24 caracteres e conter somente caracteres alfanuméricos e traços. Anote o nome do cofre escolhido, pois você precisará dele neste exercício.
Para criar seu cofre, execute o comando a seguir no Azure Cloud Shell. Certifique-se de inserir o nome exclusivo do cofre para o parâmetro --name
.
az keyvault create \
--resource-group "<rgn>[sandbox resource group name]</rgn>" \
--location centralus \
--name <your-unique-vault-name>
Após a conclusão, será exibida a saída JSON que descreve o novo cofre.
Dica
O comando usou o grupo de recursos pré-criado chamado
Adicionar o segredo
Agora, adicionar o segredo. Nosso segredo é nomeado SecretPassword
com um valor de reindeer_flotilla
. Substitua <your-unique-vault-name>
pelo nome do cofre que você criou no parâmetro --vault-name
.
az keyvault secret set \
--name SecretPassword \
--value reindeer_flotilla \
--vault-name <your-unique-vault-name>
Antes de escrever o código para o seu aplicativo, primeiro você precisa aprender um pouco sobre como seu aplicativo vai se autenticar em um cofre.