密鑰保管庫簡化了密鑰管理程序，讓你控管存取和加密數據的密鑰。 開發人員可以在幾分鐘內建立開發和測試密鑰，然后順利地將他們移轉至生產密鑰。 安全系統管理員可以視需要授和吊銷存取密鑰的權限。

本文我們將介紹如何創建和管理 Azure Key Vault 密鑰保管庫，首先我們會介紹密鑰保管庫的生命周期，然后再通過 PowerShell 示例的方式向大家演示對 Azure 密鑰保管庫的創建和管理等操作。

Azure密鑰保管庫生命周期

在最簡單的情況下，你所創建的 Azure 密鑰保管庫只供個人操作和使用。在其它情況下，對同一密鑰保管庫可有 4 組任意數量的用戶及應用程序可對其執行不同的任務。

1. 在使用密鑰保管庫服務之前，需要使用 New-AzureRmKeyVault 創建自己的密鑰保管庫。

2. 創建的 Azure 密鑰保管庫可被一個或多個應用程序使用，你必需在 Azure Active Directory 中注冊這些應用程序并使用 Set-AzureRmKeyVaultAccessPolicy 授權其使用你所創建的密鑰保管庫。

可選：要允許其它用戶添加/刪除密鑰，同樣可以使用 Set-AzureRmKeyVaultAccessPolicy 進行授權。

3. 被授權的用戶可分別使用 Set-AzureKeyVaultSecret 和 Add-AzureKeyVaultKey 向密鑰保管庫添加機密數據（如密碼）和加密密鑰。對于添加的每個機密數據或密鑰，將獲得一個唯一的 URI。

4. 應用程序操作者必須配置應用程序以使用密鑰庫的 URI（或機密數據、密鑰），一般的應用程序會提供在其配置中粘貼你機密數據和密鑰的 URI 的地方。

5. 隨后你授權的應用程序將可使用密鑰保管庫REST API或密鑰保管庫客戶端類以編程方式實現：

• 對密鑰保管庫執行機密數據讀取和寫入及授權的操作
• 可以使用密鑰來調用解密和標志等服務，由于密鑰保管庫服務會代表應用程序執行加密操作，所以應用程序不能讀取（提取）密鑰。
• 該應用程序還可以在密鑰保管庫中執行添加、刪除和更新密鑰等不常見的特定授權操作。

6. 可對你自己擁有或委派審計的密鑰保管庫服務通過日志來監控使用和執行的操作。

7. 可在任何時候使用 Add-AzureKeyVaultKey 或 Set-AzureKeyVaultKey 新增或更新機密數據或密鑰值。

8. 當不再使用時，可用 Remove-AzureKeyVaultKey 和 Remove-AzureKeyVaultSecret 刪除密鑰和機密數據。

9. 任何時候你都可以使用 Remove-AzureRmKeyVaultAccessPolicy 和 Set-AzureRmKeyVaultAccessPolicy 取消授權（吊銷）用戶或應用程序對密鑰庫的訪問。

10. 最后大家可以使用 Remove-AzureRmKeyvault 刪除整個 Azure 密鑰保管庫。

下面，我們將以示例的方式向大家演示上述操作步驟。

創建和配置密鑰保管庫

要創建 Azure 密鑰保管庫必需使用 Azure PowerShell 1.0.1 或更高版本。

1登錄 Azure 管理員賬號

Login-AzureRmAccount

2獲取可用 Azure 訂閱

Get-AzureRmSubscription

3選擇要創建密鑰保管庫的訂閱

Select-AzureRmSubscription -SubscriptionName "<訂閱名稱>"

4創建一個資源組作為存放 Azure 密鑰保管庫的容器：

New-AzureRmResourceGroup –Name 'SysgeekRG' –Location 'East Asia'

5使用 New-AzureRmKeyVault Cmdlet 來建立密鑰保管庫。這個 Cmdlet 包含 3 個必要的參數：資源組名稱、密鑰保管庫名稱和地理位置。

例如，如果使用要建立的保管庫名稱為 SysgeekKeyVault、資源組名稱為 SysgeekRG 及并確定其建立到東亞數據中心，可以使用：

New-AzureRmKeyVault -VaultName 'SysgeekKeyVault' -ResourceGroupName 'SysgeekRG' -Location 'East Asia'

此時，一個全新的 Azure 密鑰保管庫就創建完成了。

向Azure AD注冊應用程序

首先我們需要確認所創建的 Azure 密鑰保管庫是供用戶還是應用程序使用，如果是為應用程序提供服務，則必需向 Azure AD 注冊應用程序之后才能使用。想必這個步驟不難理解，用戶在 Azure AD 中是可能有自己賬號的，而應用程序沒有，所以必需要進行注冊。

1登錄舊版 Azure Protal 點擊「active directory」進入 Azure AD

2點擊「應用程序」選項卡，在此界面中會列出所有應用程序，請點擊「添加」之后選擇「添加我的組織正在開發的應用程序」

3在輸入應用程序名稱之后點擊向右箭頭進入下一步

4在此界面中指定應用程序「登錄 URL」及「應用程序 ID URI」。如果您的應用程序沒有這些值，可以在此步驟中虛構值。這些網站是否存在并沒有影響。重要的是目錄中每個應用程序的應用程序標識符 URI 都會有所不同。 目錄會使用此字符串來識別相應的應用程序。

5應用程序注冊完成后，找到相關的「客戶端 ID」字段，將標識該應用程序的 GUID 復制出來備用。

6如果你的應用程序要在 Azure AD 中讀寫數據（如通過圖形 API 提供的數據），將需要用到密鑰。你可以創建多個密鑰來處理密鑰滾動更新方案。也可以刪除已過期、已泄露或不再使用的密鑰。

授權應用程序使用密鑰或機密數據

要授權應用程序使用 Azure 密鑰保管庫中的密鑰或機密數據，可以使用 Set-AzureRmKeyVaultAccessPolicy Cmdlet。大家可在 -ServicePrincipalName 參數中指定相應應用程序的「客戶端 ID」即 GUID 并配置所要授予的相應權限即可。

Set-AzureRmKeyVaultAccessPolicy -VaultName 'SysgeekKeyVault' -ServicePrincipalName 'bd2e224b-5043-4d9f-bc09-f28f83b551fc' -PermissionsToSecrets get -PermissionsToKeys wrapKey,unwrapKey,decrypt,encrypt