Partager via

Configurer le coffre de clés Key Vault pour la rotation des informations d’identification gérées dans Operator Nexus

  • Article

Azure Operator Nexus utilise des secrets et des certificats pour gérer la sécurité des composants sur la plateforme. La plateforme Operator Nexus gère la rotation de ces secrets et certificats. Par défaut, Operator Nexus stocke les informations d’identification dans un coffre de clés Key Vault managé. Afin de conserver les informations d’identification ayant fait l’objet d’une rotation dans son propre coffre de clés Key Vault, l’utilisateur doit configurer le coffre de clés Key Vault pour l’instance d’Azure Operator Nexus. Une fois la création effectuée, l’utilisateur doit ajouter une attribution de rôle au coffre de clés Key Vault du client pour permettre à la plateforme Operator Nexus d’écrire les informations d’identification mises à jour, puis lier le coffre de clés Key Vault du client à la ressource de cluster Nexus.

Prérequis

  • Installer la dernière version des extensions de l’interface CLI appropriées
  • Obtenez l’ID d’abonnement de l’abonnement du client

Remarque

Un seul coffre de clés Key Vault peut être utilisé pour n’importe quel nombre de clusters.

Configuration de l’identité managée pour le gestionnaire de clusters

À compter de l’API 2024-06-01-public-preview, les identités managées sont utilisées dans le gestionnaire de clusters pour l’accès en écriture aux informations d’identification pivotées à un coffre de clés. L’identité du gestionnaire de clusters peut être affectée par le système ou affectée par l’utilisateur et peut être managée directement via des API ou l’interface CLI.

Ces exemples décrivent la configuration d’une identité managée pour un gestionnaire de clusters.

  • Créer ou mettre à jour du gestionnaire de clusters avec une identité affectée par le système
        az networkcloud clustermanager create --name "clusterManagerName" --location "location" \
        --analytics-workspace-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
        --fabric-controller-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/fabricControllerName" \
        --managed-resource-group-configuration name="my-managed-rg" --tags key1="myvalue1" key2="myvalue2" --resource-group "resourceGroupName" --mi-system-assigned
  • Créer ou mettre à jour du gestionnaire de clusters avec une identité affectée par l’utilisateur
        az networkcloud clustermanager create --name <Cluster Manager Name> --location <Location> \
        --analytics-workspace-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
        --fabric-controller-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/fabricControllerName" \
        --managed-resource-group-configuration name="my-managed-rg" --tags key1="myvalue1" key2="myvalue2" \
        --resource-group <Resource Group Name> --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAI"
  • Ajouter une identité affectée par le système au gestionnaire de clusters
        az networkcloud clustermanager update --name <Cluster Manager Name> --resource-group <Resource Group Name> --mi-system-assigned
  • Ajouter une identité affectée par l’utilisateur au gestionnaire de clusters
        az networkcloud clustermanager update --name <Cluster Manager Name> --resource-group <Resource Group Name> \
        --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAI"

Obtenir l’ID de principal pour l’identité managée

Une fois l’identité managée configurée, utilisez l’interface CLI pour afficher l’identité et l’ID du principal associé au sein du gestionnaire de clusters.

Exemple :

az networkcloud clustermanager show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Manager Resource Group Name>/providers/Microsoft.NetworkCloud/clusterManagers/<Cluster Manager Name>

Exemple d’identité affectée par le système :

    "identity": {
        "principalId": "2cb564c1-b4e5-4c71-bbc1-6ae259aa5f87",
        "tenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "type": "SystemAssigned"
    },

Exemple d’identité affectée par l’utilisateur :

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "e67dd610-99cf-4853-9fa0-d236b214e984",
                "principalId": "8e6d23d6-bb6b-4cf3-a00f-4cd640ab1a24"
            }
        }
    },

Écriture des mises à jour d’informations d’identification dans un coffre de clés Key Vault de client sur un cluster Nexus

  • Attribuez le rôle de service Enregistreur dans le coffre de clés Key Vault pour Operator Nexus. Vérifiez que le contrôle d’accès en fonction du rôle (RBAC) Azure est sélectionné en tant que modèle d’autorisation pour le coffre de clés dans la vue Configuration de l’accès. Puis, dans l’affichage Contrôle d’accès, choisissez d’ajouter une attribution de rôle.
Nom du rôle ID de définition de rôle
Rôle de service Enregistreur dans le coffre de clés Key Vault pour Operator Nexus (préversion) 44f0a1a8-6fea-4b35-980a-8ff50c487c97

Exemple :

az role assignment create --assignee <Managed Identity Principal Id> --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>
  • L’utilisateur associe le coffre de clés Key Vault du client au cluster Operator Nexus. L’ID de ressource du coffre de clés doit être configuré dans le cluster et activé pour stocker les secrets du cluster.

Exemple :

# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"

# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive

Pour obtenir de l’aide supplémentaire :

az networkcloud cluster update --secret-archive ?? --help

Ajouter une autorisation à une identité affectée par l’utilisateur

Quand vous utilisez une identité affectée par l’utilisateur, ajoutez l’attribution de rôle suivante à la ressource d’identité affectée par l’utilisateur :

  1. Ouvrez le portail Azure et recherchez l’identité affectée par l’utilisateur concernée.
  2. Sous Contrôle d’accès (IAM), cliquez sur Ajouter une attribution de rôle.
  3. Sélectionnez Rôle : Opérateur d’identité managée. (Consultez les autorisations attribuées par le rôle opérateur-identité-managée).
  4. Attribuez l’accès à : Utilisateur, groupe ou principal de service.
  5. Sélectionnez Membre : application AFOI-NC-MGMT-PME-PROD.
  6. Passez en revue et attribuez.