如何创建和管理Azure Key Vault密钥保管库

密钥保管库简化了密钥管理程序，让你控管存取和加密数据的密钥。 开发人员可以在几分钟内建立开发和测试密钥，然后顺利地将他们移转至生产密钥。 安全系统管理员可以视需要授和吊销存取密钥的权限。

本文我们将介绍如何创建和管理 Azure Key Vault 密钥保管库，首先我们会介绍密钥保管库的生命周期，然后再通过 PowerShell 示例的方式向大家演示对 Azure 密钥保管库的创建和管理等操作。

Azure密钥保管库生命周期

在最简单的情况下，你所创建的 Azure 密钥保管库只供个人操作和使用。在其它情况下，对同一密钥保管库可有 4 组任意数量的用户及应用程序可对其执行不同的任务。

1. 在使用密钥保管库服务之前，需要使用 New-AzureRmKeyVault 创建自己的密钥保管库。

2. 创建的 Azure 密钥保管库可被一个或多个应用程序使用，你必需在 Azure Active Directory 中注册这些应用程序并使用 Set-AzureRmKeyVaultAccessPolicy 授权其使用你所创建的密钥保管库。

可选：要允许其它用户添加/删除密钥，同样可以使用 Set-AzureRmKeyVaultAccessPolicy 进行授权。

3. 被授权的用户可分别使用 Set-AzureKeyVaultSecret 和 Add-AzureKeyVaultKey 向密钥保管库添加机密数据（如密码）和加密密钥。对于添加的每个机密数据或密钥，将获得一个唯一的 URI。

4. 应用程序操作者必须配置应用程序以使用密钥库的 URI（或机密数据、密钥），一般的应用程序会提供在其配置中粘贴你机密数据和密钥的 URI 的地方。

5. 随后你授权的应用程序将可使用密钥保管库REST API或密钥保管库客户端类以编程方式实现：

• 对密钥保管库执行机密数据读取和写入及授权的操作

• 可以使用密钥来调用解密和标志等服务，由于密钥保管库服务会代表应用程序执行加密操作，所以应用程序不能读取（提取）密钥。

• 该应用程序还可以在密钥保管库中执行添加、删除和更新密钥等不常见的特定授权操作。

6. 可对你自己拥有或委派审计的密钥保管库服务通过日志来监控使用和执行的操作。

7. 可在任何时候使用 Add-AzureKeyVaultKey 或 Set-AzureKeyVaultKey 新增或更新机密数据或密钥值。

8. 当不再使用时，可用 Remove-AzureKeyVaultKey 和 Remove-AzureKeyVaultSecret 删除密钥和机密数据。

9. 任何时候你都可以使用 Remove-AzureRmKeyVaultAccessPolicy 和 Set-AzureRmKeyVaultAccessPolicy 取消授权（吊销）用户或应用程序对密钥库的访问。

10. 最后大家可以使用 Remove-AzureRmKeyvault 删除整个 Azure 密钥保管库。

下面，我们将以示例的方式向大家演示上述操作步骤。

创建和配置密钥保管库

要创建 Azure 密钥保管库必需使用 Azure PowerShell 1.0.1 或更高版本。

1登录 Azure 管理员账号

Login-AzureRmAccount

2获取可用 Azure 订阅

Get-AzureRmSubscription

3选择要创建密钥保管库的订阅

Select-AzureRmSubscription -SubscriptionName "