Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze quickstart maakt u een sleutelkluis in Azure Key Vault met behulp van de Azure CLI. Azure Key Vault is een cloudservice die werkt als een beveiligd geheimenarchief. U kunt veilig sleutels, wachtwoorden, certificaten en andere geheime informatie opslaan. Raadpleeg het Overzicht voor meer informatie over Key Vault. Azure CLI wordt gebruikt voor het maken en beheren van Azure-resources met behulp van opdrachten of scripts. Zodra u dat hebt voltooid, slaat u een sleutel op.
Als u geen Azure-account hebt, maak dan een gratis account aan voordat u begint.
Vereisten
Gebruik de Bash-omgeving in Azure Cloud Shell. Zie Aan de slag met Azure Cloud Shell voor meer informatie.
Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.
Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Zie Verifiëren bij Azure met behulp van Azure CLI voor andere aanmeldingsopties.
Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Zie Extensies gebruiken en beheren met de Azure CLIvoor meer informatie over extensies.
Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.
- Voor deze quickstart is versie 2.0.4 of hoger van Azure CLI vereist. Als u Azure Cloud Shell gebruikt, is de nieuwste versie al geïnstalleerd.
Een brongroep maken
Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd. Gebruik de opdracht az group create om een resourcegroep met de naam myResourceGroup te maken op de locatie eastus.
az group create --name "myResourceGroup" --location "EastUS"
Maak een sleutelkluis.
Gebruik de azure CLI az keyvault create command om een Key Vault te maken in de resourcegroep uit de vorige stap. U moet enkele gegevens verstrekken:
Sleutelkluisnaam: een tekenreeks van 3 tot 24 tekens die alleen cijfers (0-9), letters (a-z, A-Z) en afbreekstreepjes (-) mogen bevatten
Belangrijk
Elke sleutelkluis moet een unieke naam hebben. Vervang
<vault-name>door de naam van uw sleutelkluis in de volgende voorbeelden.Naam van resourcegroep: myResourceGroup
De locatie: EASTUS
az keyvault create --name "<vault-name>" --resource-group "myResourceGroup" --enable-rbac-authorization true --enable-purge-protection true
Opmerking
Bescherming tegen opschonen is een beveiligingsbest practice voor Key Vault.
In de uitvoer van deze opdracht ziet u eigenschappen van de nieuw gemaakte sleutelkluis. Noteer deze twee eigenschappen:
-
Kluisnaam: de naam die u hebt opgegeven voor de
--nameparameter. -
Kluis-URI: In dit voorbeeld is
https://<vault-name>.vault.azure.net/de kluis-URI. Toepassingen die via de REST API gebruikmaken van uw kluis, moeten deze URI gebruiken.
Geef uw gebruikersaccount machtigingen voor het beheren van sleutels in Key Vault
Als u machtigingen wilt verkrijgen voor uw sleutelkluis via op rollen gebaseerd toegangsbeheer (RBAC), wijst u een rol toe aan uw UPN (User Principal Name) met behulp van de Azure CLI-opdracht az role assignment create.
az role assignment create --role "Key Vault Crypto Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/<vault-name>"
Vervang , <upn>en <subscription-id> door <vault-name>uw werkelijke waarden. Als u een andere resourcegroepnaam hebt gebruikt, vervangt u myResourceGroup ook. Uw UPN heeft doorgaans de indeling van een e-mailadres (bijvoorbeeld username@domain.com).
Een sleutel toevoegen aan Key Vault
Om een sleutel toe te voegen aan de kluis, moet u slechts een paar extra stappen uitvoeren. Deze sleutel zou kunnen worden gebruikt door een toepassing.
Typ deze opdracht om een sleutel met de naam ExampleKey te maken:
az keyvault key create --vault-name "<vault-name>" -n ExampleKey --protection software
U kunt nu naar deze sleutel die u aan Azure Key Vault hebt toegevoegd, verwijzen met behulp van de URI ervan. Gebruik https://<vault-name>.vault.azure.net/keys/ExampleKey om de huidige versie op te halen.
Een eerder opgeslagen sleutel weergeven:
az keyvault key show --name "ExampleKey" --vault-name "<vault-name>"
U hebt nu een sleutelkluis gemaakt, een sleutel opgeslagen en opgehaald.
Resources opschonen
Andere snelstartgidsen en zelfstudies in deze verzameling zijn gebaseerd op deze snelstartgids. Als u van plan bent om door te blijven gaan met de volgende quickstarts en tutorials, kunt u deze middelen intact laten.
U kunt de opdracht az group delete van Azure CLI gebruiken om de resourcegroep en alle gerelateerde resources te verwijderen wanneer u deze niet meer nodig hebt.
az group delete --name "myResourceGroup"
Opmerking
Als u de resourcegroep verwijdert, wordt ook de sleutelkluis verwijderd, maar de kluis krijgt vervolgens de status Voorlopig verwijderd en blijft gedurende de bewaarperiode (standaard 90 dagen) herstelbaar. De naam van de kluis blijft gedurende die periode wereldwijd gereserveerd en, omdat beveiliging tegen definitief verwijderen is ingeschakeld, kan de kluis niet eerder definitief worden verwijderd. Voor standaardsleutelkluizen worden er geen kosten in rekening gebracht voor voorlopig verwijderde kluizen. Zie Overzicht van voorlopig verwijderen in Key Vault voor meer informatie.
Volgende stappen
In deze snelstart hebt u een sleutelkluis gemaakt en daar een sleutel in opgeslagen. Ga verder met deze artikelen voor meer informatie over Key Vault en hoe u deze integreert met uw toepassingen.
- Lees een Overzicht van Azure Key Vault
- Raadpleeg de documentatie voor de Azure CLI 'az keyvault'-opdrachten
- Raadpleeg het Overzicht voor Key Vault-beveiliging
- Beveiligingsspecifieke best practices voor sleutels bekijken