密鑰保管庫簡化了密鑰管理程序，讓你控管存取和加密數(shù)據(jù)的密鑰。 開發(fā)人員可以在幾分鐘內(nèi)建立開發(fā)和測試密鑰，然后順利地將他們移轉(zhuǎn)至生產(chǎn)密鑰。 安全系統(tǒng)管理員可以視需要授和吊銷存取密鑰的權(quán)限。

本文我們將介紹如何創(chuàng)建和管理 Azure Key Vault 密鑰保管庫，首先我們會介紹密鑰保管庫的生命周期，然后再通過 PowerShell 示例的方式向大家演示對 Azure 密鑰保管庫的創(chuàng)建和管理等操作。

Azure密鑰保管庫生命周期

在最簡單的情況下，你所創(chuàng)建的 Azure 密鑰保管庫只供個人操作和使用。在其它情況下，對同一密鑰保管庫可有 4 組任意數(shù)量的用戶及應(yīng)用程序可對其執(zhí)行不同的任務(wù)。

1. 在使用密鑰保管庫服務(wù)之前，需要使用 New-AzureRmKeyVault 創(chuàng)建自己的密鑰保管庫。

2. 創(chuàng)建的 Azure 密鑰保管庫可被一個或多個應(yīng)用程序使用，你必需在 Azure Active Directory 中注冊這些應(yīng)用程序并使用 Set-AzureRmKeyVaultAccessPolicy 授權(quán)其使用你所創(chuàng)建的密鑰保管庫。

可選：要允許其它用戶添加/刪除密鑰，同樣可以使用 Set-AzureRmKeyVaultAccessPolicy 進行授權(quán)。

3. 被授權(quán)的用戶可分別使用 Set-AzureKeyVaultSecret 和 Add-AzureKeyVaultKey 向密鑰保管庫添加機密數(shù)據(jù)（如密碼）和加密密鑰。對于添加的每個機密數(shù)據(jù)或密鑰，將獲得一個唯一的 URI。

4. 應(yīng)用程序操作者必須配置應(yīng)用程序以使用密鑰庫的 URI（或機密數(shù)據(jù)、密鑰），一般的應(yīng)用程序會提供在其配置中粘貼你機密數(shù)據(jù)和密鑰的 URI 的地方。

5. 隨后你授權(quán)的應(yīng)用程序?qū)⒖墒褂妹荑�保管庫REST API或密鑰保管庫客戶端類以編程方式實現(xiàn)：

• 對密鑰保管庫執(zhí)行機密數(shù)據(jù)讀取和寫入及授權(quán)的操作
• 可以使用密鑰來調(diào)用解密和標(biāo)志等服務(wù)，由于密鑰保管庫服務(wù)會代表應(yīng)用程序執(zhí)行加密操作，所以應(yīng)用程序不能讀取（提取）密鑰。
• 該應(yīng)用程序還可以在密鑰保管庫中執(zhí)行添加、刪除和更新密鑰等不常見的特定授權(quán)操作。

6. 可對你自己擁有或委派審計的密鑰保管庫服務(wù)通過日志來監(jiān)控使用和執(zhí)行的操作。

7. 可在任何時候使用 Add-AzureKeyVaultKey 或 Set-AzureKeyVaultKey 新增或更新機密數(shù)據(jù)或密鑰值。

8. 當(dāng)不再使用時，可用 Remove-AzureKeyVaultKey 和 Remove-AzureKeyVaultSecret 刪除密鑰和機密數(shù)據(jù)。

9. 任何時候你都可以使用 Remove-AzureRmKeyVaultAccessPolicy 和 Set-AzureRmKeyVaultAccessPolicy 取消授權(quán)（吊銷）用戶或應(yīng)用程序?qū)γ荑�庫的訪問。

10. 最后大家可以使用 Remove-AzureRmKeyvault 刪除整個 Azure 密鑰保管庫。

下面，我們將以示例的方式向大家演示上述操作步驟。

創(chuàng)建和配置密鑰保管庫

要創(chuàng)建 Azure 密鑰保管庫必需使用 Azure PowerShell 1.0.1 或更高版本。

1登錄 Azure 管理員賬號

Login-AzureRmAccount

2獲取可用 Azure 訂閱

Get-AzureRmSubscription

3選擇要創(chuàng)建密鑰保管庫的訂閱

Select-AzureRmSubscription -SubscriptionName "<訂閱名稱>"

4創(chuàng)建一個資源組作為存放 Azure 密鑰保管庫的容器：

New-AzureRmResourceGroup –Name 'SysgeekRG' –Location 'East Asia'

5使用 New-AzureRmKeyVault Cmdlet 來建立密鑰保管庫。這個 Cmdlet 包含 3 個必要的參數(shù)：資源組名稱、密鑰保管庫名稱和地理位置。

例如，如果使用要建立的保管庫名稱為 SysgeekKeyVault、資源組名稱為 SysgeekRG 及并確定其建立到東亞數(shù)據(jù)中心，可以使用：

New-AzureRmKeyVault -VaultName 'SysgeekKeyVault' -ResourceGroupName 'SysgeekRG' -Location 'East Asia'

此時，一個全新的 Azure 密鑰保管庫就創(chuàng)建完成了。

向Azure AD注冊應(yīng)用程序

首先我們需要確認(rèn)所創(chuàng)建的 Azure 密鑰保管庫是供用戶還是應(yīng)用程序使用，如果是為應(yīng)用程序提供服務(wù)，則必需向 Azure AD 注冊應(yīng)用程序之后才能使用。想必這個步驟不難理解，用戶在 Azure AD 中是可能有自己賬號的，而應(yīng)用程序沒有，所以必需要進行注冊。

1登錄舊版 Azure Protal 點擊「active directory」進入 Azure AD

2點擊「應(yīng)用程序」選項卡，在此界面中會列出所有應(yīng)用程序，請點擊「添加」之后選擇「添加我的組織正在開發(fā)的應(yīng)用程序」

3在輸入應(yīng)用程序名稱之后點擊向右箭頭進入下一步

4在此界面中指定應(yīng)用程序「登錄 URL」及「應(yīng)用程序 ID URI」。如果您的應(yīng)用程序沒有這些值，可以在此步驟中虛構(gòu)值。這些網(wǎng)站是否存在并沒有影響。重要的是目錄中每個應(yīng)用程序的應(yīng)用程序標(biāo)識符 URI 都會有所不同。 目錄會使用此字符串來識別相應(yīng)的應(yīng)用程序。

5應(yīng)用程序注冊完成后，找到相關(guān)的「客戶端 ID」字段，將標(biāo)識該應(yīng)用程序的 GUID 復(fù)制出來備用。

6如果你的應(yīng)用程序要在 Azure AD 中讀寫數(shù)據(jù)（如通過圖形 API 提供的數(shù)據(jù)），將需要用到密鑰。你可以創(chuàng)建多個密鑰來處理密鑰滾動更新方案。也可以刪除已過期、已泄露或不再使用的密鑰。

授權(quán)應(yīng)用程序使用密鑰或機密數(shù)據(jù)

要授權(quán)應(yīng)用程序使用 Azure 密鑰保管庫中的密鑰或機密數(shù)據(jù)，可以使用 Set-AzureRmKeyVaultAccessPolicy Cmdlet。大家可在 -ServicePrincipalName 參數(shù)中指定相應(yīng)應(yīng)用程序的「客戶端 ID」即 GUID 并配置所要授予的相應(yīng)權(quán)限即可。

Set-AzureRmKeyVaultAccessPolicy -VaultName 'SysgeekKeyVault' -ServicePrincipalName 'bd2e224b-5043-4d9f-bc09-f28f83b551fc' -PermissionsToSecrets get -PermissionsToKeys wrapKey,unwrapKey,decrypt,encrypt