Rychlý start: Klientská knihovna klíčů služby Azure Key Vault pro JavaScript

Začínáme s klientskou knihovnou klíčů služby Azure Key Vault pro JavaScript Azure Key Vault je cloudová služba, která poskytuje zabezpečené úložiště kryptografických klíčů. Můžete bezpečně ukládat klíče, hesla, certifikáty a další tajné klíče. Trezory klíčů Azure můžete vytvářet a spravovat přes web Azure Portal. V tomto rychlém startu se dozvíte, jak vytvořit, načíst a odstranit klíče z trezoru klíčů Azure pomocí klientské knihovny klíčů JavaScriptu.

Prostředky klientské knihovny služby Key Vault:

Referenční dokumentace k | rozhraní API – Balíček zdrojového kódu | knihovny (npm)

Další informace o službě Key Vault a klíčích najdete tady:

• Přehled služby Key Vault
• Přehled klíčů

Požadavky

• Předplatné Azure – vytvořte si ho zdarma.
• Aktuální Node.js LTS.
• Azure CLI
• Existující služba Key Vault – můžete ji vytvořit pomocí:
  • Azure CLI
  • Azure Portal
  • Azure PowerShell

V tomto rychlém startu se předpokládá, že používáte Azure CLI.

Přihlášení k Azure

1. Spusťte příkaz login.

   az login
   

   Pokud rozhraní příkazového řádku může otevřít výchozí prohlížeč, provede to a načte přihlašovací stránku Azure.

   V opačném případě otevřete stránku https://aka.ms/devicelogin prohlížeče a zadejte autorizační kód zobrazený v terminálu.

2. Přihlaste se pomocí přihlašovacích údajů vašeho účtu v prohlížeči.

Vytvoření nové aplikace Node.js

Vytvořte Node.js aplikaci, která používá váš trezor klíčů.

1. V terminálu vytvořte složku s názvem key-vault-node-app a změňte ji do této složky:

   mkdir key-vault-node-app && cd key-vault-node-app
   

2. Inicializace projektu Node.js:

   npm init -y
   

Instalace balíčků služby Key Vault

1. Pomocí terminálu nainstalujte klientskou knihovnu tajných kódů služby Azure Key Vault @azure/keyvault-keys pro Node.js.

   npm install @azure/keyvault-keys
   

2. Nainstalujte klientskou knihovnu Azure Identity, @azure/balíček identity pro ověření ve službě Key Vault.

   npm install @azure/identity
   

Udělení přístupu k trezoru klíčů

az role assignment create --role "Key Vault Secrets User" --assignee "<app-id>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

New-AzRoleAssignment -ObjectId "<app-id>" -RoleDefinitionName "Key Vault Secrets User" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

Nahraďte <id> aplikace, <id předplatného>, <název> skupiny prostředků a <název_jedinečné-keyvault-name> skutečnými hodnotami. <> id aplikace je ID aplikace (klienta) vaší registrované aplikace v Azure AD.

Nastavení proměnných prostředí

Tato aplikace používá název trezoru klíčů jako proměnnou prostředí s názvem KEY_VAULT_NAME.

set KEY_VAULT_NAME=<your-key-vault-name>

$Env:KEY_VAULT_NAME="<your-key-vault-name>"

export KEY_VAULT_NAME=<your-key-vault-name>

Ověření a vytvoření klienta

Žádosti o aplikace na většinu služeb Azure musí být autorizované. Použití metody DefaultAzureCredential poskytované klientskou knihovnou azure Identity je doporučeným přístupem k implementaci připojení bez hesel ke službám Azure ve vašem kódu. DefaultAzureCredential podporuje více metod ověřování a určuje, která metoda se má použít za běhu. Tento přístup umožňuje vaší aplikaci používat různé metody ověřování v různých prostředích (místní a produkční) bez implementace kódu specifického pro prostředí.

V tomto rychlém startu DefaultAzureCredential se ověří v trezoru klíčů pomocí přihlašovacích údajů místního vývojového uživatele přihlášeného k Azure CLI. Když je aplikace nasazená do Azure, může stejný DefaultAzureCredential kód automaticky zjišťovat a používat spravovanou identitu přiřazenou ke službě App Service, virtuálnímu počítači nebo jiným službám. Další informace najdete v tématu Přehled spravované identity.

V tomto kódu se název trezoru klíčů používá k vytvoření identifikátoru URI trezoru klíčů ve formátu https://<your-key-vault-name>.vault.azure.net. Další informace o ověřování v trezoru klíčů najdete v příručce pro vývojáře.

Příklad kódu

Následující ukázky kódu vám ukážou, jak vytvořit klienta, nastavit tajný klíč, načíst tajný kód a odstranit tajný kód.

Tento kód používá následující třídy a metody tajných kódů služby Key Vault:

• DefaultAzureCredential – třída
• Třída KeyClient
  • createKey
  • createEcKey
  • createRsaKey
  • getKey
  • listPropertiesOfKeys
  • updateKeyProperties
  • beginDeleteKey
  • getDeletedKey
  • purgeDeletedKey

Nastavení architektury aplikace

1. Vytvořte nový textový soubor a vložte do index.js souboru následující kód.

   const { KeyClient } = require("@azure/keyvault-keys");
   const { DefaultAzureCredential } = require("@azure/identity");
   
   async function main() {
   
       // DefaultAzureCredential expects the following three environment variables:
       // - AZURE_TENANT_ID: The tenant ID in Azure Active Directory
       // - AZURE_CLIENT_ID: The application (client) ID registered in the AAD tenant
       // - AZURE_CLIENT_SECRET: The client secret for the registered application
       const credential = new DefaultAzureCredential();
   
       const keyVaultName = process.env["KEY_VAULT_NAME"];
       if(!keyVaultName) throw new Error("KEY_VAULT_NAME is empty");
       const url = "https://" + keyVaultName + ".vault.azure.net";
   
       const client = new KeyClient(url, credential);
   
       const uniqueString = Date.now();
       const keyName = `sample-key-${uniqueString}`;
       const ecKeyName = `sample-ec-key-${uniqueString}`;
       const rsaKeyName = `sample-rsa-key-${uniqueString}`;
   
       // Create key using the general method
       const result = await client.createKey(keyName, "EC");
       console.log("key: ", result);
   
       // Create key using specialized key creation methods
       const ecResult = await client.createEcKey(ecKeyName, { curve: "P-256" });
       const rsaResult = await client.createRsaKey(rsaKeyName, { keySize: 2048 });
       console.log("Elliptic curve key: ", ecResult);
       console.log("RSA Key: ", rsaResult);
   
       // Get a specific key
       const key = await client.getKey(keyName);
       console.log("key: ", key);
   
       // Or list the keys we have
       for await (const keyProperties of client.listPropertiesOfKeys()) {
       const key = await client.getKey(keyProperties.name);
       console.log("key: ", key);
       }
   
       // Update the key
       const updatedKey = await client.updateKeyProperties(keyName, result.properties.version, {
       enabled: false
       });
       console.log("updated key: ", updatedKey);
   
       // Delete the key - the key is soft-deleted but not yet purged
       const deletePoller = await client.beginDeleteKey(keyName);
       await deletePoller.pollUntilDone();
   
       const deletedKey = await client.getDeletedKey(keyName);
       console.log("deleted key: ", deletedKey);
   
       // Purge the key - the key is permanently deleted
       // This operation could take some time to complete
       console.time("purge a single key");
       await client.purgeDeletedKey(keyName);
       console.timeEnd("purge a single key");
   }
   
   main().catch((error) => {
     console.error("An error occurred:", error);
     process.exit(1);
   });
   

Spuštění ukázkové aplikace

1. Spuštění aplikace:

   node index.js
   

2. Metody vytvoření a získání vrátí celý objekt JSON pro klíč:

   "key":  {
     "key": {
       "kid": "https://YOUR-KEY-VAULT-NAME.vault.azure.net/keys/YOUR-KEY-NAME/YOUR-KEY-VERSION",
       "kty": "YOUR-KEY-TYPE",
       "keyOps": [ ARRAY-OF-VALID-OPERATIONS ],
       ... other properties based on key type
     },
     "id": "https://YOUR-KEY-VAULT-NAME.vault.azure.net/keys/YOUR-KEY-NAME/YOUR-KEY-VERSION",
     "name": "YOUR-KEY-NAME",
     "keyOperations": [ ARRAY-OF-VALID-OPERATIONS ],
     "keyType": "YOUR-KEY-TYPE",
     "properties": {
       "tags": undefined,
       "enabled": true,
       "notBefore": undefined,
       "expiresOn": undefined,
       "createdOn": 2021-11-29T18:29:11.000Z,
       "updatedOn": 2021-11-29T18:29:11.000Z,
       "recoverableDays": 90,
       "recoveryLevel": "Recoverable+Purgeable",
       "exportable": undefined,
       "releasePolicy": undefined,
       "vaultUrl": "https://YOUR-KEY-VAULT-NAME.vault.azure.net",
       "version": "YOUR-KEY-VERSION",
       "name": "YOUR-KEY-VAULT-NAME",
       "managed": undefined,
       "id": "https://YOUR-KEY-VAULT-NAME.vault.azure.net/keys/YOUR-KEY-NAME/YOUR-KEY-VERSION"
     }
   }
   

Integrace se službou App Configuration

Sada Azure SDK poskytuje pomocnou metodu parseKeyVaultKeyIdentifier pro parsování daného ID klíče služby Key Vault. To je nezbytné v případě, že použijete odkazy na Službu App Configuration ve službě Key Vault. Konfigurace aplikace ukládá ID klíče služby Key Vault. K analýze ID potřebujete metodu parseKeyVaultKeyIdentifier , abyste získali název klíče. Jakmile budete mít název klíče, můžete získat aktuální hodnotu klíče pomocí kódu z tohoto rychlého startu.

Další kroky

V tomto rychlém startu jste vytvořili trezor klíčů, uložili klíč a získali ho. Další informace o službě Key Vault a její integraci s vašimi aplikacemi najdete v těchto článcích.

• Přehled služby Azure Key Vault
• Přehled klíčů služby Azure Key Vault
• Zabezpečení přístupu k trezoru klíčů
• Prohlédni si průvodce vývojářem ve službě Azure Key Vault.
• Přehled zabezpečení služby Key Vault