Nastavení služby Key Vault pro obměnu spravovaných přihlašovacích údajů v operátoru Nexus
Azure Operator Nexus využívá tajné kódy a certifikáty ke správě zabezpečení komponent napříč platformou. Platforma Operator Nexus zpracovává rotaci těchto tajných kódů a certifikátů. Operátor Nexus ve výchozím nastavení ukládá přihlašovací údaje do spravované služby Key Vault. Aby se obměněné přihlašovací údaje zachovaly ve svém vlastním trezoru klíčů, musí uživatel nakonfigurovat vlastní službu Key Vault tak, aby přijímal obměněné přihlašovací údaje. Tato konfigurace vyžaduje, aby uživatel nastavil službu Key Vault pro instanci Azure Operator Nexus. Po vytvoření musí uživatel přidat přiřazení role ve službě Customer Key Vault, aby operátor Nexus Platform mohl napsat aktualizované přihlašovací údaje a dále propojit službu Customer Key Vault s prostředkem clusteru Nexus.
Požadavky
- Nainstalujte nejnovější verzi příslušných rozšíření rozhraní příkazového řádku.
- Získání ID předplatného pro předplatné zákazníka
Poznámka:
Jednu službu Key Vault je možné použít pro libovolný počet clusterů.
Konfigurace služby Key Vault pomocí spravované identity pro Správce clusteru
Od verze rozhraní API verze 2024-06-01-public-preview se spravované identity ve Správci clusteru používají pro přístup k zápisu pro doručování obměněných přihlašovacích údajů do trezoru klíčů. Identita Správce clusteru může být přiřazená systémem nebo přiřazená uživatelem a je možné ji spravovat přímo prostřednictvím rozhraní API nebo rozhraní příkazového řádku.
Tyto příklady popisují, jak nakonfigurovat spravovanou identitu pro Správce clusteru.
- Vytvoření nebo aktualizace Správce clusteru pomocí identity přiřazené systémem
az networkcloud clustermanager create --name "clusterManagerName" --location "location" \
--analytics-workspace-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
--fabric-controller-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/fabricControllerName" \
--managed-resource-group-configuration name="my-managed-rg" --tags key1="myvalue1" key2="myvalue2" --resource-group "resourceGroupName" --mi-system-assigned
- Vytvoření nebo aktualizace Správce clusteru s použitím identity přiřazené uživatelem
az networkcloud clustermanager create --name <Cluster Manager Name> --location <Location> \
--analytics-workspace-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
--fabric-controller-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/fabricControllerName" \
--managed-resource-group-configuration name="my-managed-rg" --tags key1="myvalue1" key2="myvalue2" \
--resource-group <Resource Group Name> --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAI"
- Přidání identity přiřazené systémem do Správce clusteru
az networkcloud clustermanager update --name <Cluster Manager Name> --resource-group <Resource Group Name> --mi-system-assigned
- Přidání identity přiřazené uživatelem do Správce clusteru
az networkcloud clustermanager update --name <Cluster Manager Name> --resource-group <Resource Group Name> \
--mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAI"
Konfigurace archivu tajných kódů clusteru Nexus
Zaregistrujte službu Customer Key Vault jako tajný archiv clusteru Nexus. ID prostředku trezoru klíčů musí být nakonfigurované v clusteru a povoleno k ukládání tajných kódů clusteru.
Příklad:
# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"
# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive
Další nápovědu:
az networkcloud cluster update --secret-archive ?? --help
Získání ID objektu zabezpečení pro spravovanou identitu Správce clusteru
Jakmile je spravovaná identita nakonfigurovaná, pomocí rozhraní příkazového řádku zobrazte identitu a přidružená data ID objektu zabezpečení v rámci správce clusteru.
Příklad:
az networkcloud clustermanager show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Manager Resource Group Name>/providers/Microsoft.NetworkCloud/clusterManagers/<Cluster Manager Name>
Příklad identity přiřazené systémem:
"identity": {
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"type": "SystemAssigned"
},
Příklad identity přiřazené uživatelem:
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
"clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
}
}
},
Informace o přiřazení příslušné role k ID objektu zabezpečení spravované identity najdete v tématu Udělení přístupu spravované identity ke službě Key Vault pro obměnu přihlašovacích údajů.
Konfigurace služby Key Vault s využitím spravované identity pro cluster
Důležité
Upozorňujeme, že tato metoda konfigurace trezoru klíčů pro obměnu přihlašovacích údajů je ve verzi Preview. Tuto metodu lze použít pouze s trezory klíčů, které nemají povolenou bránu firewall. Pokud vaše prostředí vyžaduje povolení brány firewall trezoru klíčů, použijte existující metodu identity Správce clusteru.
Od rozhraní API verze 2024-10-01-Preview je možné spravované identity v prostředku clusteru Nexus použít místo Správce clusteru. Spravovaná identita clusteru může být přiřazená systémem nebo přiřazená uživatelem a je možné ji spravovat přímo prostřednictvím rozhraní API nebo rozhraní příkazového řádku.
Poznámka:
Pokud je pro trezor klíčů nakonfigurovaná spravovaná identita clusteru Nexus, nahradí tato nastavení nastavení nakonfigurovaná v konfiguraci služby Key Vault pomocí spravované identity pro Správce clusteru.
Konfigurace nastavení archivu tajných kódů clusteru Nexus
Nastavení tajného archivu clusteru Nexus určuje identifikátor URI služby Azure Key Vault, ve kterém jsou uloženy otočené přihlašovací údaje, a spravovanou identitu, která se používá pro přístup k němu.
Tyto příklady popisují, jak nakonfigurovat spravovanou identitu pro cluster Nexus a nakonfigurovat ji jako součást nastavení secret-archive-settings.
Poznámka:
Nastavení archivace tajných kódů určuje identifikátor URI služby Key Vault, ne ID prostředku služby Key Vault a zadaná spravovaná identita musí být nakonfigurovaná pro cluster Nexus.
- Vytvořte cluster Nexus s identitou přiřazenou systémem pro přístup ke službě Key Vault za účelem obměny přihlašovacích údajů.
az networkcloud cluster create --name "<cluster-name>" \
--resource-group "<cluster-resource-group>" \
...
--mi-system-assigned \
--secret-archive-settings identity-type="SystemAssignedIdentity" vault-uri="https://<key vault name>.vault.azure.net/"
...
--subscription "<subscription>"
- Vytvořte cluster Nexus s identitou přiřazenou uživatelem pro přístup ke službě Key Vault pro obměněné přihlašovací údaje.
az networkcloud cluster create --name "<cluster-name>" \
--resource-group "<cluster-resource-group>" \
...
--mi-user-assigned "<user-assigned-identity-resource-id>" \
--secret-archive-settings identity-type="UserAssignedIdentity" identity-resource-id="<user-assigned-identity-resource-id>" vault-uri="https://<key vault name>.vault.azure.net/"
...
--subscription "<subscription>"
- Aktualizujte existující cluster Nexus pomocí identity přiřazené systémem, abyste získali přístup ke službě Key Vault, abyste získali obměněné přihlašovací údaje.
az networkcloud cluster update --ids <cluster-resource-id> \
--mi-system-assigned \
--secret-archive-settings identity-type="SystemAssignedIdentity" vault-uri="https://<key vault name>.vault.azure.net/"
- Aktualizace existujícího clusteru Nexus pomocí identity přiřazené uživatelem
az networkcloud cluster update --ids <cluster-resource-id> \
--mi-user-assigned "<user-assigned-identity-resource-id>" \
--secret-archive-settings identity-type="UserAssignedIdentity" identity-resource-id="<user-assigned-identity-resource-id>" vault-uri="https://<key vault name>.vault.azure.net/"
Další nápovědu:
az networkcloud cluster update --secret-archive-settings '??' --help
Získání ID objektu zabezpečení pro spravovanou identitu clusteru
Jakmile je spravovaná identita nakonfigurovaná pro cluster Nexus, pomocí rozhraní příkazového řádku zobrazte identitu a získejte id objektu zabezpečení pro spravovanou identitu zadanou v nastavení archivu tajných kódů.
Příklad:
az networkcloud cluster show --ids <cluster-resource-id>
Příklad identity přiřazené systémem:
"identity": {
"principalId": "2cb564c1-b4e5-4c71-bbc1-6ae259aa5f87",
"tenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"type": "SystemAssigned"
},
Příklad identity přiřazené uživatelem:
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
"clientId": "e67dd610-99cf-4853-9fa0-d236b214e984",
"principalId": "8e6d23d6-bb6b-4cf3-a00f-4cd640ab1a24"
}
}
},
Informace o přiřazení příslušné role k ID objektu zabezpečení spravované identity najdete v tématu Udělení přístupu spravované identity ke službě Key Vault pro obměnu přihlašovacích údajů.
Udělení přístupu spravované identity ke službě Key Vault za účelem obměny přihlašovacích údajů
Poznámka:
Spravovaná identita přiřazená uživatelem se může vytvořit a přiřadit přístup k trezoru klíčů před vytvořením clusteru Nexus a před nasazením. Identitě přiřazené systémem musí být udělen přístup k trezoru klíčů po vytvoření clusteru, ale před nasazením.
- Přiřaďte roli služby Writer služby Nexus Key Vault. Ujistěte se, že je jako model oprávnění pro trezor klíčů v zobrazení konfigurace accessu vybráno řízení přístupu na základě role v Azure. Potom v zobrazení Řízení přístupu vyberte, pokud chcete přidat přiřazení role.
| Název role | ID definice role |
|---|---|
| Role služby Zápis služby Nexus Key Vault (Preview) | 44f0a1a8-6fea-4b35-980a-8ff50c487c97 |
Příklad:
az role assignment create --assignee <Managed Identity Principal Id> --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>
Pokud používáte spravovanou identitu přiřazenou uživatelem, pokračujte přidáním oprávnění k identitě přiřazené uživatelem.
Přidání oprávnění k identitě přiřazené uživatelem
Pokud pro přístup ke službě Key Vault používáte spravovanou identitu přiřazenou uživatelem, musí zákazník zřídit přístup k této identitě pro platformu Nexus.
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action Konkrétně je potřeba přidat oprávnění k identitě přiřazené uživatelem pro AFOI-NC-MGMT-PME-PROD Microsoft Entra ID. Jedná se o známé omezení platformy, které bude vyřešeno v budoucnu.
- Otevřete azure Portal a vyhledejte identitu přiřazenou uživatelem.
- V části Řízení přístupu (IAM) klikněte na Přidat přiřazení role.
- Vyberte roli: Operátor spravované identity. (Podívejte se na oprávnění, která role poskytuje operátor spravované identity.
- Přiřaďte přístup k: Uživatel, skupina nebo instanční objekt.
- Vyberte člena: AFOI-NC-MGMT-PME-PROD aplikace.
- Zkontrolujte a přiřaďte.