Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här snabbstarten skapar du ett nyckelvalv i Azure Key Vault med Azure CLI. Azure Key Vault är en molntjänst som fungerar som ett säkert lager för hemligheter. Du kan på ett säkert sätt lagra nycklar, lösenord, certifikat och andra hemligheter. Mer information om Key Vault finns i översikten. Med Azure-CLI:t kan du skapa och hantera Azure-resurser med hjälp av kommandon eller skript. När du har slutfört det lagrar du ett certifikat.
Om du inte har något Azure-konto skapar du ett kostnadsfritt konto innan du börjar.
Förutsättningar
Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Kom igång med Azure Cloud Shell.
Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.
Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Autentisera till Azure med Azure CLI.
När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda och hantera tillägg med Azure CLI.
Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.
- Den här snabbstarten kräver version 2.0.4 eller senare av Azure CLI. Om du använder Azure Cloud Shell är den senaste versionen redan installerad.
Skapa en resursgrupp
En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras. Använd kommandot az group create för att skapa en resursgrupp med namnet myResourceGroup på platsen eastus.
az group create --name "myResourceGroup" --location "EastUS"
Skapa ett nyckelvalv
Använd kommandot Azure CLI az keyvault create för att skapa ett Nyckelvalv i resursgruppen från föregående steg. Du måste ange en del information:
Nyckelvalvsnamn: En sträng på 3 till 24 tecken som endast kan innehålla siffror (0–9), bokstäver (a-z, A-Z) och bindestreck (-)
Viktigt!
Varje nyckelvalv måste ha ett unikt namn. Ersätt
<vault-name>med namnet på ditt nyckelvalv i följande exempel.Resursgruppsnamn: myResourceGroup
Platsen: EastUS
az keyvault create --name "<vault-name>" --resource-group "myResourceGroup" --enable-rbac-authorization true --enable-purge-protection true
Anmärkning
Rensningsskydd är en säkerhetsrekommendation för Key Vault.
Utdata från det här kommandot visar egenskaperna för det nyligen skapade nyckelvalvet. Notera följande två egenskaper:
-
Valvnamn: Det namn som du angav för parametern
--name. -
Valv-URI: I det här exemplet är
https://<vault-name>.vault.azure.net/valvets URI . Program som använder ditt valv via dess REST-API måste använda denna URI.
Ge ditt användarkonto behörighet att hantera certifikat i Key Vault
Om du vill få behörigheter till ditt nyckelvalv via rollbaserad åtkomstkontroll (RBAC) tilldelar du en roll till ditt UPN (User Principal Name) med hjälp av Azure CLI-kommandot az role assignment create.
az role assignment create --role "Key Vault Certificates Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/<vault-name>"
Ersätt <upn>, <subscription-id>och <vault-name> med dina faktiska värden. Om du använde ett annat resursgruppsnamn ersätter du även "myResourceGroup". Ditt UPN är vanligtvis i formatet för en e-postadress (t.ex. username@domain.com).
Lägga till ett certifikat i Key Vault
Om du vill lägga till ett certifikat i valvet behöver du bara vidta några extra steg. Det här certifikatet kan användas av ett program.
Skriv kommandona nedan för att skapa ett självsignerat certifikat med standardprincipen ExampleCertificate :
Anmärkning
Den här snabbstarten skapar ett självsignerat certifikat i demonstrationssyfte. För produktionsarbetsbelastningar integrerar du Key Vault med en betrodd certifikatutfärdare. Se Sekera dina Azure Key Vault-certifikat.
az keyvault certificate create --vault-name "<vault-name>" -n ExampleCertificate -p "$(az keyvault certificate get-default-policy)"
Du kan nu referera till det här certifikatet som du lade till i Azure Key Vault med hjälp av dess URI. Använd https://<vault-name>.vault.azure.net/certificates/ExampleCertificate till att hämta aktuell version.
Så här visar du tidigare lagrat certifikat:
az keyvault certificate show --name "ExampleCertificate" --vault-name "<vault-name>"
Nu har du skapat ett Key Vault, lagrat ett certifikat och hämtat det.
Rensa resurser
De andra snabbstarterna och självstudierna i den här samlingen bygger på den här snabbstarten. Om du planerar att fortsätta med efterföljande snabbstarter och självstudier kan du lämna kvar de här resurserna.
När det inte längre behövs kan du använda kommandot Azure CLI az group delete för att ta bort resursgruppen och alla relaterade resurser:
az group delete --name "myResourceGroup"
Anmärkning
Om du tar bort resursgruppen tas även nyckelvalvet bort, men valvet går sedan in i ett mjukt borttaget tillstånd och kan fortfarande återställas under kvarhållningsperioden (90 dagar som standard). Valvnamnet förblir reserverat globalt under den perioden och eftersom rensningsskyddet är aktiverat kan valvet inte rensas tidigt. För nyckelvalv av standardtyp medför mjukt borttagna valv inga avgifter. Mer information finns i Översikt över mjuk borttagning i Key Vault.
Nästa steg
I den här snabbstarten skapade du ett Key Vault och lagrade ett certifikat i det. Om du vill veta mer om Key Vault och hur du integrerar det med dina program fortsätter du till artiklarna nedan.
- Läs en översikt över Azure Key Vault
- Se referensen för Azure CLI az keyvault-kommandon
- Granska säkerhetsöversikten för Key Vault
- Granska metodtips för certifikatspecifik säkerhet