Freigeben über

Verwalten von Geheimnissen für Ihre Bereitstellung von Azure IoT Einsatz

  • Artikel

Azure IoT Einsatz verwendet Azure Key Vault als verwaltete Tresorlösung in der Cloud und die Azure Key Vault Secret Store-Erweiterung für Kubernetes, um Geheimnisse aus der Cloud zu synchronisieren und sie am Edge als Kubernetes-Geheimnisse zu speichern.

Voraussetzungen

  • Eine Instanz von Azure IoT Einsatz, die mit sicheren Einstellungen bereitgestellt wurde. Wenn Sie Azure IoT Einsatz mit Testeinstellungen bereitgestellt haben und jetzt Geheimnisse verwenden möchten, müssen Sie zuerst sichere Einstellungen aktivieren.

  • Das Erstellen von Geheimnissen im Schlüsseltresor erfordert Berechtigungen vom Typ Geheimnisbeauftragter auf Ressourcenebene. Informationen zum Zuweisen von Rollen zu Benutzern finden Sie unter Schritte zum Zuweisen einer Azure-Rolle.

Hinzufügen und Verwenden von Geheimnissen

Die Geheimnisverwaltung für Azure IoT Einsatz verwendet die Secret Store-Erweiterung, um die Geheimnisse aus einer Azure Key Vault-Instanz zu synchronisieren und sie als Kubernetes-Geheimnisse am Edge zu speichern. Wenn Sie während der Bereitstellung sichere Einstellungen aktiviert haben, haben Sie eine Azure Key Vault-Instanz für die Geheimnisverwaltung ausgewählt. In diesem Schlüsseltresor werden alle Geheimnisse gespeichert, die in Azure IoT Einsatz verwendet werden sollen.

Hinweis

Azure IoT Einsatz-Instanzen funktionieren nur mit einem Schlüsseltresor. Mehrere Schlüsseltresore pro Instanz werden nicht unterstützt.

Nachdem die Schritte zur Einrichtung der Geheimnisverwaltung abgeschlossen sind, können Sie mit dem Hinzufügen von Geheimnissen in Azure Key Vault beginnen und diese anschließend mithilfe der Webbenutzeroberfläche von Azure IoT Einsatz mit dem Edge synchronisieren, der an Ressourcenendpunkten oder Datenflussendpunkten verwendet werden soll.

Geheimnisse werden in Ressourcen- und Datenflussendpunkten für die Authentifizierung verwendet. In diesem Abschnitt werden Ressourcenendpunkte als Beispiel verwendet. Dieselbe Vorgehensweise kann auf Datenflussendpunkte angewendet werden. Sie können das Geheimnis entweder direkt in Azure Key Vault erstellen und automatisch mit dem Edge synchronisieren oder einen vorhandenen Geheimnisverweis aus dem Schlüsseltresor verwenden:

Screenshot: Optionen „Aus Azure Key Vault hinzufügen“ und „Neu erstellen“ beim Auswählen eines Geheimnisses in der Benutzeroberfläche von Azure IoT Einsatz

  • Neues Geheimnis erstellen: Erstellt einen Geheimnisverweis in Azure Key Vault und synchronisiert das Geheimnis automatisch mithilfe der Secret Store-Erweiterung mit dem Edge. Verwenden Sie diese Option, wenn Sie das Geheimnis, das Sie für dieses Szenario benötigen, nicht bereits im Schlüsseltresor erstellt haben.

  • Aus Azure Key Vault hinzufügen: Synchronisiert ein vorhandenes Geheimnis im Schlüsseltresor mit dem Edge, wenn noch nicht geschehen. Wenn Sie diese Option auswählen, wird die Liste der Geheimnisverweise im ausgewählten Schlüsseltresor angezeigt. Verwenden Sie diese Option, wenn Sie das Geheimnis im Schlüsseltresor bereits erstellt haben.

Wenn Sie die Benutzernamen- und Kennwortverweise zu den Ressourcen- oder Datenflussendpunkten hinzufügen, müssen Sie dem synchronisierten Geheimnis einen Namen geben. Die Geheimnisverweise werden am Edge mit diesem angegebenen Namen als eine Ressource gespeichert. Im Beispiel aus dem folgenden Screenshot werden die Benutzernamen- und Kennwortverweise als edp1secrets am Edge gespeichert.

Screenshot: Feld „Name des synchronisierten Geheimnisses“ bei Auswahl von „Benutzername/Kennwort“ als Authentifizierungsmodus in der Benutzeroberfläche von Azure IoT Einsatz

Verwalten synchronisierter Geheimnisse

Sie können die Funktion Geheimnisse verwalten für Ressourcen- und Datenflussendpunkte zur Verwaltung von synchronisierten Geheimnissen verwenden. Mit der Funktion wird eine Liste aller aktuell am Edge synchronisierten Geheimnisse für die von Ihnen betrachtete Ressource angezeigt. Ein synchronisiertes Geheimnis stellt einen oder mehrere Geheimnisverweise dar, je nachdem, von welcher Ressource es verwendet wird. Jeder Vorgang, der auf ein synchronisiertes Geheimnis angewendet wird, wird auf alle Geheimnisverweise angewendet, die im synchronisierten Geheimnis enthalten sind.

Sie können synchronisierte Geheimnisse außerdem mithilfe der Funktion „Geheimnisse verwalten“ löschen. Wenn Sie ein synchronisiertes Geheimnis löschen, wird nur das synchronisierte Geheimnis am Edge gelöscht. Der Geheimnisverweis im Schlüsseltresor wird nicht gelöscht.

Hinweis

Stellen Sie vor dem Löschen eines synchronisierten Geheimnisses sicher, dass alle Verweise auf das Geheimnis aus Azure IoT Einsatz-Komponenten entfernt werden.