Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questo argomento di avvio rapido viene creato un insieme di credenziali delle chiavi in Azure Key Vault con l'interfaccia della riga di comando di Azure. Azure Key Vault è un servizio cloud che funziona come archivio protetto dei segreti. È possibile archiviare in modo sicuro chiavi, password, certificati e altri segreti. Per altre informazioni su Key Vault, vedere la panoramica. L'interfaccia della riga di comando di Azure viene usata per creare e gestire le risorse di Azure con comandi o script. Dopo aver completato questa operazione, si archivierà un certificato.
Se non si ha un account Azure, creare un account gratuito prima di iniziare.
Prerequisiti
Utilizzare l'ambiente Bash in Azure Cloud Shell. Per altre informazioni, vedere Introduzione ad Azure Cloud Shell.
Se si preferisce, per eseguire localmente i comandi di riferimento CLI, installare l'interfaccia della riga di comando di Azure per eseguire i relativi comandi di riferimento. Per l'esecuzione in Windows o macOS, è consigliabile eseguire l'interfaccia della riga di comando di Azure in un contenitore Docker. Per altre informazioni, vedere Come eseguire l’interfaccia della riga di comando di Azure in un contenitore Docker.
Se si usa un'installazione locale, accedere all'interfaccia della riga di comando di Azure con il comando az login. Per completare il processo di autenticazione, seguire la procedura visualizzata nel terminale. Per altre opzioni di accesso, vedere Eseguire l'autenticazione ad Azure con l'interfaccia della riga di comando di Azure.
Quando richiesto, installare l'estensione dell'interfaccia della riga di comando di Azure al primo utilizzo. Per altre informazioni sulle estensioni, vedere Usare e gestire le estensioni con l'interfaccia della riga di comando di Azure.
Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.
- Questa guida di avvio rapido richiede l'interfaccia della riga di comando di Azure versione 2.0.4 o successiva. Se si usa Azure Cloud Shell, la versione più recente è già installata.
Creare un gruppo di risorse
Un gruppo di risorse è un contenitore logico in cui le risorse di Azure vengono distribuite e gestite. Usare il comando az group create per creare un gruppo di risorse denominato myResourceGroup nella posizione eastus.
az group create --name "myResourceGroup" --location "EastUS"
Creare un insieme di credenziali delle chiavi
Usare il comando az keyvault create dell'interfaccia della riga di comando di Azure per creare un'istanza di Key Vault nel gruppo di risorse del passaggio precedente. Sarà necessario specificare alcune informazioni:
Nome Key Vault: una stringa contenente da 3 a 24 caratteri, limitati a numeri (0-9), lettere (a-z, A-Z) e trattini (-)
Importante
Ogni insieme di credenziali delle chiavi deve avere un nome univoco. Negli esempi seguenti, sostituire <your-unique-keyvault-name> con il nome dell'istanza dell’insieme di credenziali delle chiavi in uso.
Nome del gruppo di risorse: myResourceGroup.
Posizione: EastUS.
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup" --enable-rbac-authorization true
L'output di questo comando mostra le proprietà dell'insieme di credenziali delle chiavi appena creato. Prendere nota delle due proprietà seguenti:
-
Nome insieme di credenziali: il nome fornito nel parametro
--name. - URI insieme di credenziali: in questo esempio l'URI è https://<your-unique-keyvault-name>.vault.azure.net/. Le applicazioni che usano l'insieme di credenziali tramite l'API REST devono usare questo URI.
Concedere all'account utente le autorizzazioni per gestire i certificati in Key Vault
Per ottenere le autorizzazioni per l'insieme di credenziali delle chiavi tramite il controllo degli accessi in base al ruolo (RBAC), assegnare un ruolo all'UPN (User Principal Name) usando il comando dell'interfaccia della riga di comando di Azure az role assignment create.
az role assignment create --role "Key Vault Certificates Officer" --assignee "<upn>" --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"
Sostituire <upn>, <subscription-id>, <resource-group-name> e <your-unique-keyvault-name> con i valori effettivi. L’UPN in genere sarà nel formato di un indirizzo di posta elettronica (ad esempio, username@domain.com).
Aggiungere un certificato in Key Vault
Per aggiungere un certificato a Key Vault, sono sufficienti un paio di passaggi aggiuntivi. Questo certificato può essere usato da un'applicazione.
Digitare i comandi seguenti per creare un certificato autofirmato con un criterio predefinito denominato ExampleCertificate:
az keyvault certificate create --vault-name "<your-unique-keyvault-name>" -n ExampleCertificate -p "$(az keyvault certificate get-default-policy)"
È ora possibile fare riferimento a questo certificato aggiunto ad Azure Key Vault usando il relativo URI. Usare https://<your-unique-keyvault-name>.vault.azure.net/certificates/ExampleCertificate per ottenere la versione corrente.
Per visualizzare il certificato archiviato in precedenza:
az keyvault certificate show --name "ExampleCertificate" --vault-name "<your-unique-keyvault-name>"
A questo punto è stata creata un'istanza di Key Vault nella quale è stato archiviato e recuperato un certificato.
Pulire le risorse
Altre guide introduttive ed esercitazioni della raccolta si basano su questa. Se si prevede di usare le guide introduttive e le esercitazioni successive, è consigliabile non cancellare le risorse create.
Quando non sono più necessari, è possibile rimuovere il gruppo di risorse e tutte le risorse correlate tramite il comando az group delete dell'interfaccia della riga di comando di Azure:
az group delete --name "myResourceGroup"
Passaggi successivi
In questa guida di avvio rapido è stata creata un'istanza di Key Vault in cui è stato archiviato un certificato. Per altre informazioni sul servizio Key Vault e su come integrarlo nelle applicazioni, continuare con gli articoli seguenti.
- Leggere una panoramica di Azure Key Vault
- Vedere le informazioni di riferimento sui comandi az keyvault dell'interfaccia della riga di comando di Azure
- Vedere Panoramica della sicurezza di Key Vault
- Esaminare le procedure consigliate per la sicurezza specifiche dei certificati