Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Key Vault è un servizio cloud che offre un archivio sicuro per i segreti, quali chiavi, password, certificati e così via. Questo articolo descrive il processo di distribuzione di un modello di Azure Resource Manager (modello di ARM) per creare un insieme di credenziali delle chiavi.
Importante
Azure RBAC è il modello di autorizzazione consigliato per Azure Key Vault. Per altre informazioni, vedere Controllo degli accessi in base al ruolo di Azure per Key Vault. Il modello di criteri di accesso legacy presenta vulnerabilità di sicurezza note e non deve essere usato per le nuove distribuzioni.
Un modello di Azure Resource Manager è un file JSON (JavaScript Object Notation) che definisce l'infrastruttura e la configurazione del progetto. Il modello usa la sintassi dichiarativa. Si descrive la distribuzione prevista senza scrivere la sequenza di comandi di programmazione necessari per creare la distribuzione.
Prerequisiti
Per seguire la procedura descritta in questo articolo:
- Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Creare un modello di Resource Manager di Key Vault
Il modello seguente illustra un modo di base per creare un insieme di credenziali delle chiavi. Alcuni valori sono specificati nel modello.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"keyVaultName": {
"type": "string",
"metadata": {
"description": "Specifies the name of the key vault."
}
},
"skuName": {
"type": "string",
"defaultValue": "Standard",
"allowedValues": [
"Standard",
"Premium"
],
"metadata": {
"description": "Specifies whether the key vault is a standard vault or a premium vault."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2023-07-01",
"name": "[parameters('keyVaultName')]",
"location": "[resourceGroup().location]",
"properties": {
"enabledForDeployment": false,
"enabledForDiskEncryption": false,
"enabledForTemplateDeployment": false,
"tenantId": "[subscription().tenantId]",
"enableRbacAuthorization": true,
"enableSoftDelete": true,
"softDeleteRetentionInDays": 90,
"enablePurgeProtection": true,
"sku": {
"name": "[parameters('skuName')]",
"family": "A"
},
"networkAcls": {
"defaultAction": "Deny",
"bypass": "AzureServices"
}
}
}
]
}
Per altre informazioni sulle impostazioni dei modelli di Key Vault, vedere Informazioni di riferimento sul modello di Resource Manager di Key Vault.
Annotazioni
Questo modello utilizza Azure RBAC per l'autorizzazione, l'approccio consigliato. Per concedere l'accesso ai dati di Key Vault, assegnare ruoli di controllo degli accessi in base al ruolo di Azure, ad esempio Responsabile dei segreti di Key Vault o Responsabile della crittografia di Key Vault, a utenti, gruppi o entità servizio. Per altre informazioni, vedere Controllo degli accessi in base al ruolo di Azure per Key Vault.
Se invece è necessario usare i criteri di accesso legacy, vedere Assegnare un criterio di accesso a Key Vault. Si noti che il modello di criteri di accesso legacy presenta vulnerabilità di sicurezza note e non supporta Privileged Identity Management (PIM).
Altri modelli di Resource Manager di Key Vault
Sono disponibili altri modelli di Resource Manager per gli oggetti Key Vault:
| Segreti | Chiavi | Certificati |
|---|---|---|
| Non disponibile | Non disponibile |
Altri modelli di Key Vault sono disponibili qui: Informazioni di riferimento su Resource Manager di Key Vault.
Distribuire i modelli
È possibile usare il portale di Azure per distribuire i modelli precedenti usando l'opzione Crea un modello personalizzato nell'editor come descritto di seguito: Distribuire risorse da un modello personalizzato.
È anche possibile salvare i modelli precedenti in file e usare questi comandi: New-AzResourceGroupDeployment e az deployment group create:
New-AzResourceGroupDeployment -ResourceGroupName ExampleGroup -TemplateFile key-vault-template.json
az deployment group create --resource-group ExampleGroup --template-file key-vault-template.json
Pulire le risorse
Se si prevede di continuare con le guide introduttive e le esercitazioni successive, è possibile lasciare queste risorse. Quando le risorse non sono più necessarie, eliminare il gruppo di risorse. Se si elimina il gruppo, vengono eliminati anche l'insieme di credenziali delle chiavi e le risorse correlate. Per eliminare il gruppo di risorse usando l'interfaccia della riga di comando di Azure o Azure PowerShell, completare questa procedura:
echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName &&
echo "Press [ENTER] to continue ..."
Risorse
- Leggere una panoramica di Azure Key Vault.
- Per altre informazioni, vedere Gestione risorse di Azure.
- Vedere Panoramica della sicurezza di Azure Key Vault