Configuración de Key Vault para la rotación de credenciales administradas en Operator Nexus

Azure Operator Nexus utiliza secretos y certificados para administrar la seguridad de los componentes en toda la plataforma. La plataforma Operator Nexus controla la rotación de estos secretos y certificados. De forma predeterminada, Operator Nexus almacena las credenciales en un almacén de claves administrado. Para mantener las credenciales rotadas en su propio almacén de claves, el usuario debe configurar su propio almacén de claves para recibir credenciales rotadas. Esta configuración requiere que el usuario configure Key Vault para la instancia de Azure Operator Nexus. Una vez creado, el usuario debe agregar una asignación de roles en Customer Key Vault para permitir que operator Nexus Platform escriba credenciales actualizadas y, además, vincule Customer Key Vault al recurso del clúster de Nexus.

Requisitos previos

• Instale la versión más reciente de las extensiones de la CLI adecuadas
• Obtención del Identificador de suscripción de la suscripción del cliente

Nota:

Se puede usar un único almacén de claves para cualquier número de clústeres.

Configuración de Key Vault mediante la identidad administrada para clúster

Nota:

La funcionalidad de identidad administrada para Key Vault y la identidad administrada de clúster existe con la API 2024-10-01-preview y estará disponible con la API de disponibilidad general 2025-02-01.

Consulte la compatibilidad del clúster de Azure Operator Nexus para las identidades administradas y los recursos proporcionados por el usuario

Configuración de Key Vault mediante la identidad administrada para clúster administrado

Nota:

Este método está en desuso con la implementación de la API de disponibilidad general 2025-02-01. Se aplica un período de transición para admitir la migración, pero los usuarios existentes deben buscar la migración al uso de la identidad administrada del clúster. Una vez que se actualiza un clúster para usar la configuración de archivo secreto y la identidad administrada del clúster, se omite la identidad administrada del Administrador de clústeres para la rotación de credenciales.

A partir de la versión 2024-07-01 de la API, las identidades administradas en el Administrador de clústeres se utilizan para el acceso de escritura para entregar credenciales rotadas a un almacén de claves. La identidad del Administrador del clúster puede ser asignada por el sistema o Asignada por el usuario, y se puede administrar directamente a través de api o a través de la CLI.

Para obtener información sobre cómo asignar identidades administradas al Administrador de clústeres, consulte Identidad del administrador de clústeres

Configuración del archivo secreto de clúster de Nexus

Registre el almacén de claves de cliente como archivo secreto para el clúster Nexus. El identificador de recurso del almacén de claves debe configurarse en el clúster y estar habilitado para almacenar los secretos del clúster.

Ejemplo:

# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"

# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive

Para obtener más ayuda:

az networkcloud cluster update --secret-archive ?? --help

Obtención del identificador de entidad de seguridad de la identidad administrada del Administrador de clústeres

Una vez configurada una identidad administrada, use la CLI para ver la identidad y los datos de identificador de entidad de seguridad asociados en el administrador de clústeres.

Ejemplo:

az networkcloud clustermanager show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Manager Resource Group Name>/providers/Microsoft.NetworkCloud/clusterManagers/<Cluster Manager Name>

Ejemplo de identidad asignada por el sistema:

    "identity": {
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "type": "SystemAssigned"
    },

Ejemplo de identidad asignada por el usuario:

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                "principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
            }
        }
    },

Consulte Configuración de Key Vault mediante la identidad administrada para el clúster para asignar el rol adecuado al id. de entidad de seguridad de identidad administrada.