时间:2020-04-14 22:24作者:admin来源:未知人气:366我要评论(0)
密钥保管库简化了密钥管理程序,让你控管存取和加密数据的密钥。 开发人员可以在几分钟内建立开发和测试密钥,然后顺利地将他们移转至生产密钥。 安全系统管理员可以视需要授和吊销存取密钥的权限。
本文我们将介绍如何创建和管理 Azure Key Vault 密钥保管库,首先我们会介绍密钥保管库的生命周期,然后再通过 PowerShell 示例的方式向大家演示对 Azure 密钥保管库的创建和管理等操作。
在最简单的情况下,你所创建的 Azure 密钥保管库只供个人操作和使用。在其它情况下,对同一密钥保管库可有 4 组任意数量的用户及应用程序可对其执行不同的任务。
1. 在使用密钥保管库服务之前,需要使用 New-AzureRmKeyVault 创建自己的密钥保管库。
2. 创建的 Azure 密钥保管库可被一个或多个应用程序使用,你必需在 Azure Active Directory 中注册这些应用程序并使用 Set-AzureRmKeyVaultAccessPolicy 授权其使用你所创建的密钥保管库。
可选:要允许其它用户添加/删除密钥,同样可以使用 Set-AzureRmKeyVaultAccessPolicy 进行授权。
3. 被授权的用户可分别使用 Set-AzureKeyVaultSecret 和 Add-AzureKeyVaultKey 向密钥保管库添加机密数据(如密码)和加密密钥。对于添加的每个机密数据或密钥,将获得一个唯一的 URI。
4. 应用程序操作者必须配置应用程序以使用密钥库的 URI(或机密数据、密钥),一般的应用程序会提供在其配置中粘贴你机密数据和密钥的 URI 的地方。
5. 随后你授权的应用程序将可使用密钥保管库REST API或密钥保管库客户端类以编程方式实现:
6. 可对你自己拥有或委派审计的密钥保管库服务通过日志来监控使用和执行的操作。
7. 可在任何时候使用 Add-AzureKeyVaultKey 或 Set-AzureKeyVaultKey 新增或更新机密数据或密钥值。
8. 当不再使用时,可用 Remove-AzureKeyVaultKey 和 Remove-AzureKeyVaultSecret 删除密钥和机密数据。
9. 任何时候你都可以使用 Remove-AzureRmKeyVaultAccessPolicy 和 Set-AzureRmKeyVaultAccessPolicy 取消授权(吊销)用户或应用程序对密钥库的访问。
10. 最后大家可以使用 Remove-AzureRmKeyvault 删除整个 Azure 密钥保管库。
下面,我们将以示例的方式向大家演示上述操作步骤。
要创建 Azure 密钥保管库必需使用 Azure PowerShell 1.0.1 或更高版本。
1登录 Azure 管理员账号
Login-AzureRmAccount
2获取可用 Azure 订阅
Get-AzureRmSubscription
3选择要创建密钥保管库的订阅
Select-AzureRmSubscription -SubscriptionName "<订阅名称>"
4创建一个资源组作为存放 Azure 密钥保管库的容器:
New-AzureRmResourceGroup –Name 'SysgeekRG' –Location 'East Asia'
5使用 New-AzureRmKeyVault Cmdlet 來建立密钥保管库。这个 Cmdlet 包含 3 个必要的参数:资源组名称、密钥保管库名称和地理位置。
例如,如果使用要建立的保管库名称为 SysgeekKeyVault、资源组名称为 SysgeekRG 及并确定其建立到东亚数据中心,可以使用:
New-AzureRmKeyVault -VaultName 'SysgeekKeyVault' -ResourceGroupName 'SysgeekRG' -Location 'East Asia'
此时,一个全新的 Azure 密钥保管库就创建完成了。
首先我们需要确认所创建的 Azure 密钥保管库是供用户还是应用程序使用,如果是为应用程序提供服务,则必需向 Azure AD 注册应用程序之后才能使用。想必这个步骤不难理解,用户在 Azure AD 中是可能有自己账号的,而应用程序没有,所以必需要进行注册。
1登录旧版 Azure Protal 点击「active directory」进入 Azure AD
2点击「应用程序」选项卡,在此界面中会列出所有应用程序,请点击「添加」之后选择「添加我的组织正在开发的应用程序」
3在输入应用程序名称之后点击向右箭头进入下一步
4在此界面中指定应用程序「登录 URL」及「应用程序 ID URI」。如果您的应用程序没有这些值,可以在此步骤中虚构值。这些网站是否存在并没有影响。重要的是目录中每个应用程序的应用程序标识符 URI 都会有所不同。 目录会使用此字符串来识别相应的应用程序。
5应用程序注册完成后,找到相关的「客户端 ID」字段,将标识该应用程序的 GUID 复制出来备用。
6如果你的应用程序要在 Azure AD 中读写数据(如通过图形 API 提供的数据),将需要用到密钥。你可以创建多个密钥来处理密钥滚动更新方案。也可以删除已过期、已泄露或不再使用的密钥。
要授权应用程序使用 Azure 密钥保管库中的密钥或机密数据,可以使用 Set-AzureRmKeyVaultAccessPolicy Cmdlet。大家可在 -ServicePrincipalName 参数中指定相应应用程序的「客户端 ID」即 GUID 并配置所要授予的相应权限即可。
Set-AzureRmKeyVaultAccessPolicy -VaultName 'SysgeekKeyVault' -ServicePrincipalName 'bd2e224b-5043-4d9f-bc09-f28f83b551fc' -PermissionsToSecrets get -PermissionsToKeys wrapKey,unwrapKey,decrypt,encrypt
相关阅读 Win10只能打出字母无法打出汉字怎么办Win10经常有电脑弹窗如何解决Win10提示全局禁用了虚拟打印功能怎么办Win10玩血战上海滩全屏怎么设置Win10使用小娜搜索文件没有反应怎么办Win10如何禁止开机自动运行语音识别Win10怎么禁止应用访问任务Win10连接商店显示0x80072efd怎么解决Win10电脑硬件配置信息在哪里查看Win10如何查看打印机驱动的位置
热门文章
win10 C盘多了个锁,还多个三角型黄色感叹号,看起来让人不舒服
微软官方Win10虚拟机镜像下载地址(VMware/VirtualBox/HyperV/Para
windows 10 登陆微软账号0x80190001错误解决方法
如何解决win10 系统C:Users用户名中有中文,更改为英文的问题
最新文章
Win10只能打出字母无法打出汉字怎么办
Win10经常有电脑弹窗如何解决
Win10提示全局禁用了虚拟打印功能怎么办Win10玩血战上海滩全屏怎么设置Win10使用小娜搜索文件没有反应怎么办Win10如何禁止开机自动运行语音识别
人气排行 win10 C盘多了个锁,还多个三角型黄色感叹号,看起来让人不舒服微软官方Win10虚拟机镜像下载地址(VMware/VirtualBox/HyperV/Parawindows 10 登陆微软账号0x80190001错误解决方法如何解决win10 系统C:Users用户名中有中文,更改为英文的问题Win10 离线安装.NET Framework 3.5方法汇总下载大全win11用户帐户控制你要允许此应用对你的设备进行更改解决方法如何让指定的电脑窗口固定在最前端(始终显示)错误0xC004F069非核心版本的计算机上运行slui.exe解决方法
盖楼回复X
(您的评论需要经过审核才能显示)
查看所有0条评论>>