Partage via

Faire pivoter les clés secrètes dans Azure Local

  • Article

S’applique à : Azure Local 2311.2 et les versions ultérieures

Cet article explique comment modifier le mot de passe associé à l’utilisateur du déploiement sur Azure Local.

Modifier le mot de passe utilisateur de déploiement

Utilisez l’applet de commande Set-AzureStackLCMUserPassword PowerShell pour réaliser la rotation des secrets d’informations d’identification de l’administrateurAzureStackLCMUserCredential de domaine. Cette applet de commande modifie le mot de passe de l’utilisateur qui se connecte aux hôtes du serveur.

Note

Lorsque vous exécutez Set-AzureStackLCMUserPassword, l’applet de commande met uniquement à jour ce qui a été modifié précédemment dans Active Directory.

Applet de commande et propriétés PowerShell

L’applet de commande Set-AzureStackLCMUserPassword accepte les paramètres suivants :

Paramètre Description
Identity Nom d’utilisateur de l’utilisateur dont vous souhaitez modifier le mot de passe.
OldPassword Mot de passe actuel de l’utilisateur.
NewPassword Le nouveau mot de passe de l’utilisateur.
UpdateAD Paramètre facultatif utilisé pour définir un nouveau mot de passe dans Active Directory.

Exécuter l’applet de commande Set-AzureStackLCMUserPassword

Définissez les paramètres, puis exécutez l’applet de commande Set-AzureStackLCMUserPassword pour modifier le mot de passe :

$old_pass = convertto-securestring "<Old password>" -asplaintext -force
$new_pass = convertto-securestring "<New password>" -asplaintext -force

Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD

Une fois le mot de passe modifié, la session se termine. Vous devez ensuite vous connecter avec le mot de passe mis à jour.

Voici un exemple de sortie lors de l’utilisation de Set-AzureStackLCMUserPassword :

PS C:\Users\MGMT> $old_pass = convertto-securestring "Passwordl23!" -asplaintext -force 
PS C:\Users\MGMT> $new_pass = convertto-securestring "Passwordl23!1" -asplaintext -force
PS C:\Users\MGMT> Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD 
WARNING: !WARNING!
The current session will be unresponsive once this command completes. You will have to login again with updated credentials. Do you want to continue?
Updating password in AD.
WARNING: Please close this session and log in again.
PS C:\Users\MGMT>

Modifier la clé de compte de stockage témoin de cluster

Cette section explique comment modifier la clé de compte de stockage du compte témoin de cluster.

  1. Connectez-vous à l’un des nœuds locaux Azure à l’aide des informations d’identification de l’utilisateur de déploiement.

  2. Configurez le quorum de témoin à l’aide de la clé de compte de stockage secondaire :

    Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account secondary key>

  3. Faites pivoter la clé primaire du compte de stockage.

  4. Configurez le quorum de témoin à l’aide de la clé de compte de stockage en rotation :

    Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account primary key>

  5. Faire pivoter la clé secondaire du compte de stockage.

  6. Mettez à jour la clé primaire du compte de stockage dans le magasin ECE :

    $SecureSecretText = ConvertTo-SecureString -String "<Replace Storage account key>" -AsPlainText -Force
$WitnessCred = New-Object -Type PSCredential -ArgumentList "WitnessCredential,$SecureSecretText"
Set-ECEServiceSecret -ContainerName WitnessCredential -Credential $WitnessCred

Révoquer le jeton SAS pour le compte de stockage utilisé pour les images de machines virtuelles Arc

Cette section explique comment révoquer le jeton SAP (Shared Access Signature) pour le compte de stockage utilisé pour les images de machine virtuelle Arc.

Stratégie SAP SAS a expiré ? Étapes de révocation
N’importe quelle interface de ligne de commande (SAS) Oui Aucune action n’est requise, car la SAP n’est plus valide.
SAS ad hoc signée avec une clé de compte Non Exécuter la rotation ou la régénération manuelles la clé de compte de stockage utilisée pour créer une SAS.
SAS ad hoc signée avec une clé de délégation d’utilisateur Non Pour révoquer la clé de délégation d’utilisateur ou modifier les attributions de rôles, consultez Révoquer une SAS de délégation d’utilisateur.
SAP avec une stratégie d’accès stockée Non Pour mettre à jour l’heure d’expiration à une date ou une heure passée, ou supprimer la stratégie d’accès stockée, consultez Modifier ou révoquer une stratégie d’accès stockée.

Pour en savoir plus, consultez Révoquer une SAS.

Modifier le principal du service de déploiement

Cette section explique comment modifier le principal de service utilisé pour le déploiement.

Note

Ce scénario s’applique uniquement lorsque vous avez mis à niveau le logiciel Azure Local 2306 vers Azure Local version 23H2.

Pour modifier le principal de service de déploiement, procédez comme suit :

  1. Connectez-vous à votre ID Microsoft Entra.

  2. Recherchez le principal de service que vous avez utilisé lors du déploiement de l’instance Azure Local. Créez un nouveau secret client pour le principal de service.

  3. Notez le appID du principal de service existant et le nouveau <client secret>.

  4. Connectez-vous à l’une de vos machines Azure Local à l’aide des informations d’identification de l’utilisateur du déploiement.

  5. Connectez-vous à Azure. Exécutez la commande PowerShell suivante :

    Connect-AzAccount

  6. Définit le contexte de l’abonnement. Exécutez la commande PowerShell suivante :

    Set-AzContext -Subscription <Subscription ID>

  7. Mettez à jour le nom du principal de service. Lancer les commandes PowerShell suivantes :

    cd "C:\Program Files\WindowsPowerShell\Modules\Microsoft.AS.ArcIntegration"
Import-Module Microsoft.AS.ArcIntegration.psm1 -Force
$secretText=ConvertTo-SecureString -String <client secret> -AsPlainText -Force
Update-ServicePrincipalName -AppId <appID> -SecureSecretText $secretText

Modifier le secret du principal de service ARB

Cette section explique comment modifier le principal de service utilisé pour le pont de ressources Azure que vous avez créé pendant le déploiement.

Pour modifier le principal de service de déploiement, procédez comme suit :

  1. Connectez-vous à votre ID Microsoft Entra.

  2. Recherchez le principal de service pour le pont de ressources Azure. Le format du nom du principal de service est ClusternameXX.arb.

  3. Créez un nouveau secret client pour le principal de service.

  4. Notez le appID du principal de service existant et le nouveau <client secret>.

  5. Connectez-vous à l’une de vos machines Azure Local à l’aide des informations d’identification de l’utilisateur du déploiement.

  6. Exécutez la commande PowerShell suivante :

    $SubscriptionId= "<Subscription ID>" 
$TenantId= "<Tenant ID>"
$AppId = "<Application ID>" 
$secretText= "<Client secret>" 
$NewPassword = ConvertTo-SecureString -String $secretText -AsPlainText -Force 
Set-AzureStackRPSpCredential -SubscriptionID $SubscriptionId -TenantID $TenantId -AppId $AppId -NewPassword $NewPassword

Étapes suivantes

Remplissez les prérequis et la liste de contrôle et installez azure Local.