Ввод ключей RSA в хранилище ключей Azure

14

Как я могу сохранить свою пару ключей (обычно id_rsa и id_rsa.pub) в хранилище ключей Azure. Я хочу поместить открытый ключ в службу GIT и разрешить виртуальной машине загружать закрытый ключ из хранилища ключей Azure ->, чтобы обеспечить безопасный доступ к GIT.

Я попытался создать пару файлов PEM и объединить их в pfx и загрузить его в качестве секретного файла, который я получаю обратно, похоже, полностью отличается от любого файла pem.

Я также попытался вручную ввести свой секретный ключ в Azure, но он превращает символы новой строки в пробелы.

ssh azure git ssh-keys automation MercilessMaverick
источник

Ответы:

23

Вы можете использовать Azure CLI для загрузки id_rsaв хранилище ключей Azure.

azure keyvault secret set --name shui --vault-name shui --file ~/.ssh/id_rsa

Вы можете использовать, -hчтобы получить помощь.

--file <file-name>                 the file that contains the secret value to be uploaded; cannot be used along with the --value or --json-value flag

Вы также можете скачать секрет из хранилища ключей.

az keyvault secret download --name shui --vault-name shui --file ~/.ssh/id_rsa

Я сравниваю ключи в моей лаборатории. Они такие же.

Шуй шэнбао
источник
Я действительно ценю все ваши ответы здесь, спасибо!
Reaces
@Reaces Я рад, что мой ответ полезен для вас.
Шуй Шэнбао
Извините, я не ОП, я просто прочитал это и проверил, подал как полезное знание и почувствовал, что должен вам проголосовать + комментарий :). Извиняюсь за путаницу.
Reaces
> Извините, я не ОП, я просто прочитал это и проверил, подал в качестве полезного знания и почувствовал, что должен вам проголосовать + комментарий :) Звучит смешно. Такое дружелюбное сообщество.
Net Runner
2
К вашему сведению, следующие способы получения секрета getбольше не работают. az keyvault secret download --name <KeyNameHere> --vault-name <vaultNamehere> --file <filename here>
Григорий Сувалиан
12

Предыдущий ответ Shengbao Shui показывает команду для сохранения секрета с помощью Azure CLI 1.0 (Node). Для Azure CLI 2.0 (Python) используйте следующий синтаксис:

Установить / сохранить ключ:

az keyvault secret set --vault-name 'myvault' -n 'secret-name' -f '~/.ssh/id_rsa'

Аргументы:

Arguments
    --name -n    [Required]: Name of the secret.
    --vault-name [Required]: Name of the key vault.
    --description          : Description of the secret contents (e.g. password, connection string,
                             etc).
    --disabled             : Create secret in disabled state.  Allowed values: false, true.
    --expires              : Expiration UTC datetime  (Y-m-d'T'H:M:S'Z').
    --not-before           : Key not usable before the provided UTC datetime  (Y-m-d'T'H:M:S'Z').
    --tags                 : Space-separated tags in 'key[=value]' format. Use '' to clear existing
                             tags.

Content Source Arguments
    --encoding -e          : Source file encoding. The value is saved as a tag (`file-
                             encoding=<val>`) and used during download to automatically encode the
                             resulting file.  Allowed values: ascii, base64, hex, utf-16be,
                             utf-16le, utf-8.  Default: utf-8.
    --file -f              : Source file for secret. Use in conjunction with '--encoding'.
    --value                : Plain text secret value. Cannot be used with '--file' or '--encoding'.

Global Arguments
    --debug                : Increase logging verbosity to show all debug logs.
    --help -h              : Show this help message and exit.
    --output -o            : Output format.  Allowed values: json, jsonc, table, tsv.  Default:
                             json.
    --query                : JMESPath query string. See http://jmespath.org/ for more information
                             and examples.
    --verbose              : Increase logging verbosity. Use --debug for full debug logs.

Получить / получить ключ:

Сохраните ключ в файл ~/.ssh/mykeyс помощью утилиты jq.

az keyvault secret show --vault-name myvault --name 'secret-name' | jq -r .value > ~/.ssh/mykey

Файлы могут печататься с завершающей новой строкой, которую вы можете удалить с помощью perl one-liner:

perl -pi -e 'chomp if eof' ~/.ssh/mykey

# Set permissions to user-read only
chmod 600 ~/.ssh/mykey

Создать открытый ключ из файла закрытого ключа ...

ssh-keygen -y -f ~/.ssh/myfile > ~/.ssh/myfile.pub
Шоссе Жизни
источник