azure-keyvault-secrets-ts
安全地管理 Azure Key Vault 机密
在代码中存储应用机密会带来安全风险。此技能通过适当的身份验证和加密,实现使用 Azure Key Vault 进行安全机密管理。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“azure-keyvault-secrets-ts”。 从 Key Vault 获取机密 'MySecret'
预期结果:
成功检索机密:MySecret(版本:a1b2c3d4)。值长度:32 个字符。内容类型:application/json。过期时间:2025-12-31。
正在使用“azure-keyvault-secrets-ts”。 列出密钥保管库中的所有机密
预期结果:
找到 5 个机密:DatabaseConnectionString、ApiKey、JwtSigningKey、SmtpPassword、StorageAccountKey。所有机密均已启用。2 个机密将在 30 天内过期。
正在使用“azure-keyvault-secrets-ts”。 手动轮换密钥 'EncryptionKey'
预期结果:
密钥轮换成功:EncryptionKey。新版本:e5f6g7h8。密钥类型:RSA。密钥大小:2048 位。轮换完成时间:2026-02-25T00:22:36Z。
安全审计
安全All static analysis findings are false positives. The scanner incorrectly flagged markdown documentation code blocks as executable code. The skill uses Azure SDK patterns correctly with DefaultAzureCredential, environment-based configuration, and industry-standard cryptographic algorithms (RSA-OAEP, RS256, P-256). No malicious patterns detected.
风险因素
🌐 网络访问 (2)
🔑 环境变量 (1)
质量评分
你能构建什么
安全应用配置
将数据库连接字符串、API 密钥和服务凭据存储在 Key Vault 中,而不是环境变量或配置文件中。
加密密钥管理
生成和管理 RSA 或椭圆曲线密钥,用于加密和数字签名,支持自动轮换策略。
机密轮换自动化
实施自动化机密轮换,通过过期日期和访问策略降低凭据泄露风险。
试试这些提示
从 Azure Key Vault 检索名为 'DatabaseConnectionString' 的机密并记录其值。
创建一个名为 'ApiKey' 的新机密,值为 'xyz123',设置为启用,添加 contentType 为 'text/plain',并标记为 environment=production。
使用 CryptographyClient 通过 RSA-OAEP 算法加密消息,然后解密并验证原始内容是否保持不变。
创建一个 2048 位的 RSA 密钥,配置轮换策略以每 90 天自动轮换,并设置 30 天的预过期操作,同时设置轮换事件的监控。
最佳实践
- 使用 DefaultAzureCredential 在开发和生产环境之间实现无缝身份验证
- 在生产密钥保管库上启用软删除,以便在保留期内恢复机密
- 为机密设置过期日期,并为加密密钥配置自动轮换策略
避免
- 切勿将机密值硬编码到源代码中或提交到版本控制系统
- 避免使用主密钥或根凭据 - 实施具有特定密钥操作的最小权限访问
- 不要在生产环境中禁用软删除,因为这会阻止从意外删除中恢复