你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

快速入门：使用 ARM 模板从Azure 密钥保管库设置和检索机密

Azure 密钥保管库是一种云服务，它为机密（如密钥、密码、证书和其他机密）提供安全存储。本快速入门重点介绍如何部署Azure 资源管理器模板（ARM 模板）来创建密钥保管库和机密。

Azure 资源管理器模板是一个 JavaScript 对象表示法（JSON）文件，用于定义项目的基础结构和配置。模板使用声明性语法。你可以在不编写用于创建部署的编程命令序列的情况下，描述预期部署。

如果你的环境满足先决条件，并且你熟悉使用 ARM 模板，请选择 部署到 Azure 按钮。模板将在Azure门户中打开。

先决条件

若要完成本文，

如果没有Azure订阅，请在开始前创建 free 帐户。
模板需要 Microsoft Entra 用户对象 ID 来配置权限。以下过程获取对象 ID （GUID）。
1. 通过选择Try it，运行以下 Azure PowerShell 或 Azure CLI 命令，然后将脚本粘贴到 shell 窗格中。若要粘贴脚本，请右键单击 shell，然后选择“粘贴”。
  - CLI
  - PowerShell
```
echo "Enter your email address that is used to sign in to Azure:" &&
read upn &&
az ad user show --id $upn --query "Id" &&
echo "Press [ENTER] to continue ..."
```
```
$upn = Read-Host -Prompt "Enter your email address used to sign in to Azure"
(Get-AzADUser -UserPrincipalName $upn).Id
Write-Host "Press [ENTER] to continue..."
```
2. 记下对象 ID。在本快速入门的下一部分中需要用到它。

查看模板

重要

本快速入门使用外部模板创建具有传统访问策略的保管库。对于生产部署，请改用 Azure RBAC 授权。请参阅《使用 ARM 模板创建密钥库》以获取使用该模板的示例，或参阅enableRbacAuthorization: true《保护您的 Azure 密钥保管库》以获取全面的安全指南。

本快速入门中使用的模板来自 Azure 快速入门模板。

模板中定义了两个Azure资源：

Microsoft。KeyVault/vaults：创建Azure密钥保管库。
Microsoft.KeyVault/vaults/secrets：创建密钥保管库中的机密。

可以在 Azure 快速入门模板中找到更多Azure 密钥保管库模板示例。

部署模板

选择下图以登录到Azure并打开模板。该模板将创建 Key Vault 和机密。
选择或输入以下值。

除非指定了密钥保管库，否则请使用默认值创建密钥保管库和机密。
- Subscription：选择Azure订阅。
- 资源组：选择“新建”，输入资源组的唯一名称，然后单击“确定”。
- 位置：选择一个位置。例如“美国中部”。
- 密钥保管库 Name：输入key vault的名称，该名称在 .vault.azure.net 命名空间中必须全局唯一。在下一部分验证部署时，需要该名称。
- 租户 ID：模板函数会自动检索租户 ID。不要更改默认值。
- 广告用户 ID：输入在先决条件中获取的 Microsoft Entra 用户对象 ID。
- 机密名称：输入密钥保管库中存储的机密的名称。例如 ，adminpassword。
- 机密值：输入机密值。如果存储密码，建议使用在先决条件中创建的生成的密码。
- 我同意上述条款和条件：选中。
选择“购买”。成功部署密钥保管库后，会收到通知：

Azure门户用于部署模板。除了Azure门户，还可以使用Azure PowerShell、Azure CLI和 REST API。若要了解其他部署方法，请参阅部署模板。

查看已部署的资源

可以使用Azure门户检查密钥保管库和机密，也可以使用以下Azure CLI或Azure PowerShell脚本列出创建的机密。

CLI
PowerShell

echo "Enter your key vault name:" &&
read keyVaultName &&
az keyvault secret list --vault-name $keyVaultName &&
echo "Press [ENTER] to continue ..."

$keyVaultName = Read-Host -Prompt "Enter your key vault name"
Get-AzKeyVaultSecret -vaultName $keyVaultName
Write-Host "Press [ENTER] to continue..."

输出如下所示：

CLI
PowerShell

显示 CLI 中部署门户验证输出的屏幕截图。

清理资源

其他密钥保管库快速入门和教程都是基于本快速入门。如果打算继续使用后续的快速入门和教程，则可能需要保留这些资源。不再需要时，请删除资源组，该资源组会删除密钥保管库和相关资源。若要使用Azure CLI或Azure PowerShell删除资源组，请执行以下操作：

CLI
PowerShell

echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName &&
echo "Press [ENTER] to continue ..."

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
Remove-AzResourceGroup -Name $resourceGroupName
Write-Host "Press [ENTER] to continue..."

后续步骤

在本快速入门中，你使用 ARM 模板创建了密钥保管库和机密，并验证了部署。若要详细了解密钥保管库和Azure 资源管理器，请继续阅读以下文章。

反馈

此页面是否有帮助？

Last updated on 2026-04-17