Azure Key Vault は、セキュリティで保護されたキーを使用して、認証キー、ストレージ アカウント キー、データ暗号化キー、.pfx ファイル、パスワードを暗号化できるサービスです。 Azure Key Vault の詳細については、「Azure Key Vault とは」を参照してください。
Azure Key Vault シークレット管理を使用すると、トークン、パスワード、証明書、API キー、およびその他のシークレットへのアクセスを安全に格納し、厳密に制御できます。
Node.js アプリケーションで Azure Key Vault シークレットのクライアント ライブラリを使用して、次の手順を実行します。
- シークレットを取得、設定、削除します。
- シークレットとその属性を更新します。
- シークレットのバックアップと復元。
- 削除されたシークレットを取得、消去、または回復します。
- シークレットのすべてのバージョンを取得します。
- すべてのシークレットを取得します。
- 削除されたすべてのシークレットを取得します。
注: このパッケージは、Azure Key Vault サービスの制限によりブラウザーで使用できません。ガイダンスについては、このドキュメント 参照してください。
主要なリンク:
作業の開始
現在サポートされている環境
[前提条件]
- Azure サブスクリプション
- Key Vault リソース
- 既存の Azure Key Vault。 キー コンテナーを作成する必要がある場合は、このドキュメントの の手順に従って、Azure Portal行うことができます。 または、このドキュメントの の手順に従って、Azure CLI使用することもできます。
パッケージをインストールする
npm を使用して Azure Key Vault シークレット クライアント ライブラリをインストールします。
npm install @azure/keyvault-secrets
ID ライブラリをインストールする
Key Vault クライアントは、Azure ID ライブラリを使用して認証します。 npm を使用してインストールする
npm install @azure/identity
TypeScript の構成
TypeScript ユーザーには、Node 型の定義がインストールされている必要があります。
npm install @types/node
また、tsconfig.jsonで compilerOptions.allowSyntheticDefaultImports を有効にする必要があります。
compilerOptions.esModuleInteropを有効にした場合、allowSyntheticDefaultImports は既定で有効になっています。 詳細については、TypeScript のコンパイラ オプション ハンドブックの を参照してください。
重要な概念
- シークレット クライアント は、JavaScript アプリケーションから Azure Key Vault API のシークレットに関連する API メソッドと対話するための主要なインターフェイスです。 初期化されると、シークレットの作成、読み取り、更新、削除に使用できる基本的な一連のメソッドが提供されます。
- シークレットバージョン は、Key Vault 内のシークレットのバージョンです。 ユーザーが一意のシークレット名に値を割り当てるたびに、そのシークレットの新しい バージョン が作成されます。 名前でシークレットを取得すると、クエリに特定のバージョンが指定されていない限り、常に割り当てられた最新の値が返されます。
- 論理的な削除 を すると、Key Vault は削除と削除を 2 つの個別の手順としてサポートできるため、削除されたシークレットはすぐに失われるわけではありません。 これは、Key Vault で論理的な削除 が有効 場合にのみ発生します。
- シークレット バックアップ は、作成された任意のシークレットから生成できます。 これらのバックアップはバイナリ データとして提供され、以前に削除されたシークレットの再生成にのみ使用できます。
Azure Active Directory での認証
Key Vault サービスは、Azure Active Directory を使用して API への要求を認証します。
@azure/identity パッケージには、アプリケーションでこれを行うために使用できるさまざまな資格情報の種類が用意されています。
@azure/identity
用の README には、作業を開始するための詳細とサンプルが用意されています。
Azure Key Vault サービスと対話するには、SecretClient クラスのインスタンス、コンテナーの URL、資格情報オブジェクトを作成する必要があります。 このドキュメントに示す例では、DefaultAzureCredentialという名前の資格情報オブジェクトを使用します。これは、ローカルの開発環境や運用環境など、ほとんどのシナリオに適しています。 さらに、運用環境での認証には、マネージド ID を使用することをお勧めします。
認証のさまざまな方法とそれに対応する資格情報の種類の詳細については、Azure ID のドキュメントを参照してください。
簡単な例を次に示します。 まず、DefaultAzureCredential と SecretClientをインポートします。 これらをインポートしたら、次に Key Vault サービスに接続できます。
import { DefaultAzureCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";
const credential = new DefaultAzureCredential();
// Build the URL to reach your key vault
const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;
// Lastly, create our keys client and connect to the service
const client = new SecretClient(url, credential);
Azure Key Vault サービス API バージョンの指定
既定では、このパッケージでは、7.1されている最新の Azure Key Vault サービス バージョンが使用されます。 サポートされている他のバージョンは 7.0だけです。 次に示すように、クライアント コンストラクターで serviceVersion オプションを設定することで、使用されているサービスのバージョンを変更できます。
import { DefaultAzureCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";
const credential = new DefaultAzureCredential();
// Build the URL to reach your key vault
const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;
// Change the Azure Key Vault service API version being used via the `serviceVersion` option
const client = new SecretClient(url, credential, {
serviceVersion: "7.0", // Or 7.1
});
例示
次のセクションでは、Azure Key Vault シークレットを使用する一般的なタスクの一部を説明するコード スニペットを示します。 ここで説明するシナリオは、次のもので構成されます。
- シークレットの作成と設定。
- シークレットを取得します。
- 属性を使用したシークレットの作成と更新。
- シークレットを削除します。
- シークレットのリストを反復処理。
シークレットの作成と設定
setSecret は、指定したシークレット名に指定された値を割り当てます。 同じ名前のシークレットが既に存在する場合は、新しいバージョンのシークレットが作成されます。
import { DefaultAzureCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";
const credential = new DefaultAzureCredential();
const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;
const client = new SecretClient(url, credential);
const secretName = "MySecretName";
const result = await client.setSecret(secretName, "MySecretValue");
console.log("result: ", result);
シークレットの取得
コンテナーからシークレットを読み取り戻す最も簡単な方法は、名前でシークレットを取得することです。 これにより、シークレットの最新バージョンが取得されます。 オプションのパラメーターの一部としてキーを指定する場合は、必要に応じて別のバージョンのキーを取得できます。
import { DefaultAzureCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";
const credential = new DefaultAzureCredential();
const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;
const client = new SecretClient(url, credential);
const secretName = "MySecretName";
const latestSecret = await client.getSecret(secretName);
console.log(`Latest version of the secret ${secretName}: `, latestSecret);
const specificSecret = await client.getSecret(secretName, {
version: latestSecret.properties.version!,
});
console.log(
`The secret ${secretName} at the version ${latestSecret.properties.version!}: `,
specificSecret,
);
属性を使用したシークレットの作成と更新
シークレットには、名前とその値よりも多くの情報を含めることができます。 また、次の属性を含めることもできます。
-
tags: シークレットの検索とフィルター処理に使用できるキー値のセット。 -
contentType: シークレットの受信者がシークレット値の使用方法を理解するのに役立つ任意の文字列。 -
enabled: シークレット値を読み取ることができるかどうかを決定するブール値。 -
notBefore: シークレット値を取得できる日付を指定します。 -
expiresOn: シークレット値を取得できない日付を指定します。
これらの属性を持つオブジェクトは、次のように、シークレットの名前と値の直後にある setSecretの 3 番目のパラメーターとして送信できます。
import { DefaultAzureCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";
const credential = new DefaultAzureCredential();
const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;
const client = new SecretClient(url, credential);
const secretName = "MySecretName";
const result = await client.setSecret(secretName, "MySecretValue", {
enabled: false,
});
これにより、同じシークレットの新しいバージョンが作成され、最新の属性が提供されます。
属性は、次のように、updateSecretPropertiesを使用して既存のシークレット バージョンに更新することもできます。
import { DefaultAzureCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";
const credential = new DefaultAzureCredential();
const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;
const client = new SecretClient(url, credential);
const secretName = "MySecretName";
const result = await client.getSecret(secretName);
await client.updateSecretProperties(secretName, result.properties.version, { enabled: false });
シークレットを削除する
beginDeleteSecret メソッドは、シークレットの削除を開始します。
このプロセスは、必要なリソースが利用可能になるとすぐにバックグラウンドで発生します。
import { DefaultAzureCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";
const credential = new DefaultAzureCredential();
const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;
const client = new SecretClient(url, credential);
const secretName = "MySecretName";
await client.beginDeleteSecret(secretName);
Key Vault 論理的な削除 が有効になっている場合、この操作では、シークレットに 削除された シークレットとしてのみラベルが付けられます。 削除されたシークレットは更新できません。 読み取り、回復、または消去のみが可能です。
import { DefaultAzureCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";
const credential = new DefaultAzureCredential();
const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;
const client = new SecretClient(url, credential);
const secretName = "MySecretName";
const poller = await client.beginDeleteSecret(secretName);
// You can use the deleted secret immediately:
const deletedSecret = poller.getResult();
// The secret is being deleted. Only wait for it if you want to restore it or purge it.
await poller.pollUntilDone();
// You can also get the deleted secret this way:
await client.getDeletedSecret(secretName);
// Deleted secrets can also be recovered or purged.
// recoverDeletedSecret returns a poller, just like beginDeleteSecret.
const recoverPoller = await client.beginRecoverDeletedSecret(secretName);
await recoverPoller.pollUntilDone();
// And then, to purge the deleted secret:
await client.purgeDeletedSecret(secretName);
シークレットが完全に削除されるまでに時間がかかるため、beginDeleteSecret は、次のガイドラインに従って、基になる実行時間の長い操作を追跡する Poller オブジェクトを返 https://azure.github.io/azure-sdk/typescript_design.html#ts-lro
受信したポーラーを使用すると、poller.getResult()を呼び出して削除されたシークレットを取得できます。
また、シークレットが削除されるまで個々のサービス呼び出しを実行するか、プロセスが完了するまで待機することで、削除が完了するまで待機することもできます。
import { DefaultAzureCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";
const credential = new DefaultAzureCredential();
const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;
const client = new SecretClient(url, credential);
const secretName = "MySecretName";
const poller = await client.beginDeleteSecret(secretName);
// You can use the deleted secret immediately:
let deletedSecret = poller.getResult();
// Or you can wait until the secret finishes being deleted:
deletedSecret = await poller.pollUntilDone();
console.log(deletedSecret);
シークレットが完全に削除されるまで待機するもう 1 つの方法は、次のように個々の呼び出しを行うことです。
import { DefaultAzureCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";
const credential = new DefaultAzureCredential();
const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;
const client = new SecretClient(url, credential);
const secretName = "MySecretName";
const delay = (ms) => new Promise((resolve) => setTimeout(resolve, ms));
const poller = await client.beginDeleteSecret(secretName);
while (!poller.isDone()) {
await poller.poll();
await delay(5000);
}
console.log(`The secret ${secretName} is fully deleted`);
シークレットのリストの反復処理
SecretClient を使用すると、Key Vault 内のすべてのシークレット、および削除されたすべてのシークレットと特定のシークレットのバージョンを取得して反復処理できます。 次の API メソッドを使用できます。
-
listPropertiesOfSecretsは、削除されていないすべてのシークレットを最新バージョンの名前で一覧表示します。 -
listDeletedSecretsは、削除されたすべてのシークレットを最新バージョンでのみ、その名前で一覧表示します。 -
listPropertiesOfSecretVersionsシークレット名に基づいて、シークレットのすべてのバージョンが一覧表示されます。
次のように使用できます。
import { DefaultAzureCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";
const credential = new DefaultAzureCredential();
const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;
const client = new SecretClient(url, credential);
const secretName = "MySecretName";
for await (const secretProperties of client.listPropertiesOfSecrets()) {
console.log("Secret properties: ", secretProperties);
}
for await (const deletedSecret of client.listDeletedSecrets()) {
console.log("Deleted secret: ", deletedSecret);
}
for await (const versionProperties of client.listPropertiesOfSecretVersions(secretName)) {
console.log("Version properties: ", versionProperties);
}
これらのメソッドはすべて、使用可能なすべての結果 一度に 返されます。 ページごとに取得するには、次のように、使用する API メソッドを呼び出した直後に .byPage() を追加します。
import { DefaultAzureCredential } from "@azure/identity";
import { SecretClient } from "@azure/keyvault-secrets";
const credential = new DefaultAzureCredential();
const vaultName = "<YOUR KEYVAULT NAME>";
const url = `https://${vaultName}.vault.azure.net`;
const client = new SecretClient(url, credential);
const secretName = "MySecretName";
for await (const page of client.listPropertiesOfSecrets().byPage()) {
for (const secretProperties of page) {
console.log("Secret properties: ", secretProperties);
}
}
for await (const page of client.listDeletedSecrets().byPage()) {
for (const deletedSecret of page) {
console.log("Deleted secret: ", deletedSecret);
}
}
for await (const page of client.listPropertiesOfSecretVersions(secretName).byPage()) {
for (const versionProperties of page) {
console.log("Version properties: ", versionProperties);
}
}
トラブルシューティング
さまざまな障害シナリオを診断する方法の詳細については、トラブルシューティング ガイドの を参照してください。
ログ記録を有効にすると、エラーに関する有用な情報を明らかにするのに役立つ場合があります。 HTTP 要求と応答のログを表示するには、AZURE_LOG_LEVEL 環境変数を infoに設定します。 または、setLogLevelで @azure/logger を呼び出すことによって、実行時にログを有効にすることもできます。
import { setLogLevel } from "@azure/logger";
setLogLevel("info");
次のステップ
その他のコード サンプルについては、次のリンクを参照してください。
投稿
このライブラリに投稿する場合は、コードをビルドしてテストする方法の詳細については、投稿ガイド を参照してください。
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
Azure SDK for JavaScript