Freigeben über


Aktivieren sicherer Einstellungen in „Azure IoT Einsatz“

Die sicheren Einstellungen für Azure IoT Einsatz umfassen das Einrichten der Geheimnisverwaltung und einer benutzerseitig zugewiesenen verwalteten Identität für Cloudverbindungen, z. B. einen OPC UA-Server, oder Datenflussendpunkte.

Dieser Artikel enthält Anweisungen zum Aktivieren sicherer Einstellungen, wenn dies nicht bereits während der Erstbereitstellung erfolgt ist.

Voraussetzungen

  • Eine Instanz von Azure IoT Einsatz, die mit Testeinstellungen bereitgestellt wurde. Sie haben z. B. Testeinstellungen ausgewählt, als Sie den Anweisungen in Bereitstellen von „Azure IoT Einsatz“ in einem Kubernetes-Cluster mit Arc-Unterstützung folgten.

  • Installation der Azure CLI auf Ihrem Entwicklungscomputer. Für dieses Szenario ist mindestens die Version 2.64.0 der Azure CLI erforderlich. Verwenden Sie az --version, um Ihre Version zu überprüfen. Bei Bedarf können Sie sie mithilfe von az upgrade aktualisieren. Weitere Informationen finden Sie unter Installieren der Azure CLI.

  • Die Azure IoT Einsatz-Erweiterung für die Azure CLI. Verwenden Sie den folgenden Befehl, um die Erweiterung hinzuzufügen oder auf die neueste Version zu aktualisieren:

    az extension add --upgrade --name azure-iot-ops
    

Einrichten der Geheimnisverwaltung

Die Geheimnisverwaltung für Azure IoT Einsatz verwendet die Geheimnisspeicher-Erweiterung, um die Geheimnisse aus einer Azure Key Vault-Instanz zu synchronisieren und sie als Kubernetes-Geheimnisse am Edge zu speichern. Die Erweiterung für den Geheimnisspeicher erfordert eine benutzerseitig zugewiesene verwaltete Identität mit Zugriff auf die Azure Key Vault-Instanz, in der Geheimnisse gespeichert werden. Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.

So richten Sie die Geheimnisverwaltung ein:

  1. Erstellen Sie eine Azure Key Vault-Instanz, die zum Speichern von Geheimnissen verwendet wird, und erteilen Sie Ihrem Benutzerkonto Berechtigungen zum Verwalten von Geheimnissen mit der Rolle Key Vault Secrets Officer.

  2. Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität für die Geheimnisspeicher-Erweiterung.

  3. Verwenden Sie den Befehl az iot ops secretsync enable, um die Azure IoT Einsatz-Instanz für die Geheimnissynchronisierung einzurichten. Dieser Befehl:

    • Erstellt Anmeldeinformationen einer Verbundidentität mithilfe der benutzerseitig zugewiesenen verwalteten Identität.
    • Fügt der benutzerseitig zugewiesenen verwalteten Identität eine Rollenzuweisung für den Zugriff auf Azure Key Vault hinzu.
    • Fügt eine minimale Geheimnisanbieterklasse hinzu, die der Azure IoT Einsatz-Instanz zugeordnet ist.
    # Variable block
    AIO_INSTANCE_NAME="<AIO_INSTANCE_NAME>"
    RESOURCE_GROUP="<RESOURCE_GROUP>"
    USER_ASSIGNED_MI_NAME="<USER_ASSIGNED_MI_NAME>"
    KEYVAULT_NAME="<KEYVAULT_NAME>"
    
    #Get the resource ID of the user-assigned managed identity
    USER_ASSIGNED_MI_RESOURCE_ID=$(az identity show --name $USER_ASSIGNED_MI_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)
    
    #Get the resource ID of the key vault
    KEYVAULT_RESOURCE_ID=$(az keyvault show --name $KEYVAULT_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)
    
    #Enable secret synchronization
    az iot ops secretsync enable --instance $AIO_INSTANCE_NAME \
                                 --resource-group $RESOURCE_GROUP \
                                 --mi-user-assigned $USER_ASSIGNED_MI_RESOURCE_ID \
                                 --kv-resource-id $KEYVAULT_RESOURCE_ID
    

Nachdem die Einrichtung der Geheimnissynchronisierung abgeschlossen ist, können Sie unterVerwalten von Geheimnissen für Ihre Bereitstellung von „Azure IoT Einsatz“ nachlesen, wie Geheimnisse mit „Azure IoT Einsatz“ verwendet werden.

Einrichten einer benutzerseitig zugewiesenen verwalteten Identität für Cloudverbindungen

Einige Azure IoT Einsatz-Komponenten, wie z. B. Datenflussendpunkte, verwenden eine benutzerseitig zugewiesene verwaltete Identität für Cloudverbindungen. Wir empfehlen, dass Sie eine andere Identität verwenden als die, die Sie zum Einrichten der Geheimnisverwaltung verwendet haben.

  1. Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität, die für Cloudverbindungen verwendet wird.

    Hinweis

    Sie müssen die Identitätsberechtigung für die Cloudressource erteilen, für die Sie die verwaltete Identität verwenden möchten.

  2. Verwenden Sie den Befehl az iot ops identity assign, um die Identität der Azure IoT Einsatz-Instanz zuzuweisen. Mit diesem Befehl werden außerdem Anmeldeinformationen einer Verbundidentität mithilfe des OIDC-Ausstellers des angegebenen verbundenen Clusters und des Azure IoT Einsatz-Dienstkontos erstellt.

    # Variable block
    AIO_INSTANCE_NAME="<AIO_INSTANCE_NAME>"
    RESOURCE_GROUP="<RESOURCE_GROUP>"
    USER_ASSIGNED_MI_NAME="<USER_ASSIGNED_MI_NAME FOR CLOUD CONNECTIONS>"
    
    #Get the resource ID of the user-assigned managed identity
    USER_ASSIGNED_MI_RESOURCE_ID=$(az identity show --name $USER_ASSIGNED_MI_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)
    
    #Assign the identity to the Azure IoT Operations instance
    az iot ops identity assign --name $AIO_INSTANCE_NAME \
                               --resource-group $RESOURCE_GROUP \
                               --mi-user-assigned $USER_ASSIGNED_MI_RESOURCE_ID
    

Sie können nun diese verwaltete Identität in Datenflussendpunkten für Cloudverbindungen verwenden.