Início Rápido: Criar um cofre de chaves Azure e um segredo usando Bicep

Azure Key Vault é um serviço de nuvem que fornece um repositório seguro para segredos, como chaves, senhas, certificados e outros segredos. Este Início Rápido concentra-se no processo de implantação de um arquivo Bicep para criar um cofre de chaves e um segredo.

Bicep é uma DSL (linguagem específica do domínio) que usa sintaxe declarativa para implantar recursos Azure. Ele fornece sintaxe concisa, segurança de tipos confiável e suporte para reutilização de código. Bicep oferece a melhor experiência de criação para suas soluções de infraestrutura como código em Azure.

Pré-requisitos

• Se você não tiver uma assinatura Azure, crie uma conta gratuita antes de começar.

• Sua ID de objeto de usuário Microsoft Entra é necessária pelo modelo para configurar permissões. O procedimento a seguir obtém a ID do objeto (GUID).

  1. Execute o comando Azure PowerShell ou CLI do Azure a seguir selecionando Try it e cole o script no painel de shell. Para colar o script, clique com o botão direito do mouse no shell e, em seguida, selecione Colar.

     • CLI
     • PowerShell

     echo "Enter your email address that is used to sign in to Azure:" &&
     read upn &&
     az ad user show --id $upn --query "id" &&
     echo "Press [ENTER] to continue ..."
     

  2. Anote a ID do objeto. Você precisa dele na próxima seção deste guia de início rápido.

Examinar o arquivo Bicep

O modelo usado neste início rápido é de Azure Modelos de Início Rápido.

@description('Specifies the name of the key vault.')
param keyVaultName string

@description('Specifies the Azure location where the key vault should be created.')
param location string = resourceGroup().location

@description('Specifies whether Azure Virtual Machines are permitted to retrieve certificates stored as secrets from the key vault.')
param enabledForDeployment bool = false

@description('Specifies whether Azure Disk Encryption is permitted to retrieve secrets from the vault and unwrap keys.')
param enabledForDiskEncryption bool = false

@description('Specifies whether Azure Resource Manager is permitted to retrieve secrets from the key vault.')
param enabledForTemplateDeployment bool = false

@description('Specifies the Azure Active Directory tenant ID that should be used for authenticating requests to the key vault. Get it by using Get-AzSubscription cmdlet.')
param tenantId string = subscription().tenantId

@description('Specifies whether the key vault is a standard vault or a premium vault.')
@allowed([
  'standard'
  'premium'
])
param skuName string = 'standard'

@description('Specifies the name of the secret that you want to create.')
param secretName string

@description('Specifies the value of the secret that you want to create.')
@secure()
param secretValue string

resource kv 'Microsoft.KeyVault/vaults@2023-07-01' = {
  name: keyVaultName
  location: location
  properties: {
    enabledForDeployment: enabledForDeployment
    enabledForDiskEncryption: enabledForDiskEncryption
    enabledForTemplateDeployment: enabledForTemplateDeployment
    enableRbacAuthorization: true
    tenantId: tenantId
    enableSoftDelete: true
    softDeleteRetentionInDays: 90
    sku: {
      name: skuName
      family: 'A'
    }
    networkAcls: {
      defaultAction: 'Allow'
      bypass: 'AzureServices'
    }
  }
}

resource secret 'Microsoft.KeyVault/vaults/secrets@2023-07-01' = {
  parent: kv
  name: secretName
  properties: {
    value: secretValue
  }
}

output location string = location
output name string = kv.name
output resourceGroupName string = resourceGroup().name
output resourceId string = kv.id

Dois recursos Azure são definidos no arquivo Bicep:

• Microsoft. KeyVault/vaults: crie um cofre de chaves Azure.
• Microsoft. KeyVault/vaults/secrets: crie um segredo do cofre de chaves.

Implantar o arquivo de Bicep

1. Salve o arquivo Bicep como main.bicep ao computador local.

2. Implante o arquivo Bicep usando CLI do Azure ou Azure PowerShell.

   • CLI
   • PowerShell

   az group create --name myResourceGroup --location eastus
   az deployment group create --resource-group myResourceGroup --template-file main.bicep --parameters keyVaultName=<vault-name> objectId=<object-id>
   

   Observação

   Substitua <vault-name> pelo nome do cofre de chaves. Substitua <object-id> pela ID do objeto de um usuário, entidade de serviço ou grupo de segurança no locatário do Microsoft Entra para o cofre. A ID do objeto deve ser exclusiva para a lista de políticas de acesso. Obtenha-o usando cmdlets Get-AzADUser ou Get-AzADServicePrincipal.

   Quando a implantação for concluída, você deverá ver uma mensagem indicando que ela foi bem-sucedida.

Examinar os recursos implantados

Você pode usar o portal Azure para verificar o cofre de chaves e o segredo ou usar o seguinte CLI do Azure ou Azure PowerShell script para listar o segredo criado.

echo "Enter your key vault name:" &&
read keyVaultName &&
az keyvault secret list --vault-name $keyVaultName &&
echo "Press [ENTER] to continue ..."

$keyVaultName = Read-Host -Prompt "Enter your key vault name"
Get-AzKeyVaultSecret -vaultName $keyVaultName
Write-Host "Press [ENTER] to continue..."

Limpar os recursos

Quando não for mais necessário, use o portal Azure, CLI do Azure ou Azure PowerShell para excluir o grupo de recursos e seus recursos.

az group delete --name myResourceGroup

Remove-AzResourceGroup -Name myResourceGroup

Próximas etapas

Neste guia de início rápido, você criou um cofre de chaves e um segredo usando o Bicep e, em seguida, validou a implantação. Para saber mais sobre Key Vault e Bicep, continue nos artigos abaixo.

• Leia uma Visão geral do Azure Key Vault
• Saiba mais sobre Bicep
• Examine a visão geral de segurança Key Vault