Question

我以前曾使用curl从我的Azure KeyVault中检索机密。

首先，我检索我的令牌并获取我的密钥库的网址：

token=$(curl -s 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fvault.azure.net' -H Metadata:true | awk -F"[{,\":}]" '{print $6}')

keyvaulturl="https://myTestKeyVault-keyvault.vault.azure.net/secrets"

然后我可以访问我的KeyVault

curl -s ${keyvaulturl}/xxx?api-version=2016-10-01 -H "Authorization: Bearer ${token}"

但这只是为了获取秘密。有没有办法通过curl更新它们？还是使用天青cli更好？在这种情况下，最佳的自动身份验证形式是什么？

Answer 1

是的，是的。

# Add secret
$ curl -X PUT \
    -s "https://alice.vault.azure.net/secrets/SecretFromCurl?api-version=2016-10-01" \
    -H "Authorization: Bearer ${token}" \
    --data-ascii '{"value": "sup3rs3cr37v4lu3"}' \
    -H "Content-type: application/json"

{"value":"sup3rs3cr37v4lu3","id": ...


# Read back the secret
$ curl -s "https://alice.vault.azure.net/secrets/SecretFromCurl?api-version=2016-10-01" \
    -H "Authorization: Bearer ${token}"

{"value":"sup3rs3cr37v4lu3","id": ...

使用jq解析JSON，awk像我做瑜伽一样（具有次优的优美度）执行JSON —

$ curl -s "https://alice.vault.azure.net/secrets/SecretFromCurl?api-version=2016-10-01" \
    -H "Authorization: Bearer ${token}" | jq -r ".value"

sup3rs3cr37v4lu3

但是，这样做有点麻烦，使用az keyvault secret ...更加简洁，更易于阅读，更不用说az拥有自己的内置JMESPath --query过滤器。例如：

# Login with Managed Service Identity
$ az login --identity

# Get secret value
$ az keyvault secret show --vault-name alice -n SecretFromCurl --query "value" --output tsv

sup3rs3cr37v4lu3

即使您一生中需要更多手动JSON探索，jpterm也不会让您失望-

jpterm screenshot

如何使用curl设置Azure KeyVault机密的值

1 个答案: