Configurare Key Vault per la rotazione delle credenziali gestite in Operator Nexus
Operatore Nexus di Azure usa segreti e certificati per gestire la sicurezza dei componenti nella piattaforma. La piattaforma Operator Nexus gestisce la rotazione di questi segreti e certificati. Per impostazione predefinita, Operator Nexus archivia le credenziali in un insieme di credenziali delle chiavi gestito. Per mantenere le credenziali ruotate nel proprio Insieme di credenziali delle chiavi, l'utente deve configurare l'insieme di credenziali delle chiavi per l'istanza Di Azure Operator Nexus. Dopo la creazione, l'utente deve aggiungere un'assegnazione di ruolo nell'insieme di credenziali delle chiavi del cliente per consentire alla piattaforma Operator Nexus di scrivere le credenziali aggiornate e collegare l'insieme di credenziali delle chiavi del cliente alla risorsa del cluster Nexus.
Prerequisiti
- Installare la versione più recente delle estensioni dell'interfaccia della riga di comando appropriate
- Ottenere l'ID sottoscrizione per la sottoscrizione del cliente
Nota
Un singolo insieme di credenziali delle chiavi può essere usato per un numero qualsiasi di cluster.
Configurare l'identità gestita per Cluster Manager
A partire dall'API 2024-06-01-public-preview, le identità gestite vengono usate in Gestione cluster per l'accesso in scrittura alle credenziali ruotate in un insieme di credenziali delle chiavi. L'identità di Cluster Manager può essere assegnata dal sistema o assegnata dall'utente e può essere gestita direttamente tramite LE API o tramite l'interfaccia della riga di comando.
Questi esempi descrivono come configurare un'identità gestita per Un Cluster Manager.
- Creare o aggiornare Gestione cluster con identità assegnata dal sistema
az networkcloud clustermanager create --name "clusterManagerName" --location "location" \
--analytics-workspace-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
--fabric-controller-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/fabricControllerName" \
--managed-resource-group-configuration name="my-managed-rg" --tags key1="myvalue1" key2="myvalue2" --resource-group "resourceGroupName" --mi-system-assigned
- Creare o aggiornare Gestione cluster con identità assegnata dall'utente
az networkcloud clustermanager create --name <Cluster Manager Name> --location <Location> \
--analytics-workspace-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
--fabric-controller-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/fabricControllerName" \
--managed-resource-group-configuration name="my-managed-rg" --tags key1="myvalue1" key2="myvalue2" \
--resource-group <Resource Group Name> --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAI"
- Aggiungere un'identità assegnata dal sistema a Cluster Manager
az networkcloud clustermanager update --name <Cluster Manager Name> --resource-group <Resource Group Name> --mi-system-assigned
- Aggiungere l'identità assegnata dall'utente a Cluster Manager
az networkcloud clustermanager update --name <Cluster Manager Name> --resource-group <Resource Group Name> \
--mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAI"
Ottenere l'ID entità per l'identità gestita
Dopo aver configurato un'identità gestita, usare l'interfaccia della riga di comando per visualizzare l'identità e i dati dell'ID entità associati all'interno di Gestione cluster.
Esempio:
az networkcloud clustermanager show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Manager Resource Group Name>/providers/Microsoft.NetworkCloud/clusterManagers/<Cluster Manager Name>
Esempio di identità assegnata dal sistema:
"identity": {
"principalId": "2cb564c1-b4e5-4c71-bbc1-6ae259aa5f87",
"tenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
"type": "SystemAssigned"
},
Esempio di identità assegnata dall'utente:
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
"clientId": "e67dd610-99cf-4853-9fa0-d236b214e984",
"principalId": "8e6d23d6-bb6b-4cf3-a00f-4cd640ab1a24"
}
}
},
Scrittura di aggiornamenti delle credenziali in un insieme di credenziali delle chiavi del cliente in un cluster Nexus
- Assegnare il ruolo del servizio Writer dell'insieme di credenziali delle chiavi Nexus. Assicurarsi che il controllo degli accessi in base al ruolo di Azure sia selezionato come modello di autorizzazione per l'insieme di credenziali delle chiavi nella visualizzazione Configurazione di Accesso. Nella visualizzazione Controllo di accesso selezionare quindi per aggiungere un'assegnazione di ruolo.
| Nome ruolo | ID definizione ruolo |
|---|---|
| Ruolo del servizio Writer dell'insieme di credenziali delle chiavi Nexus (anteprima) | 44f0a1a8-6fea-4b35-980a-8ff50c487c97 |
Esempio:
az role assignment create --assignee <Managed Identity Principal Id> --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>
- L'utente associa Customer Key Vault al cluster Operator Nexus. L'ID risorsa dell'insieme di credenziali delle chiavi deve essere configurato nel cluster e abilitato per archiviare i segreti del cluster.
Esempio:
# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"
# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive
Per altre informazioni:
az networkcloud cluster update --secret-archive ?? --help
Aggiungere un'autorizzazione all'identità assegnata dall'utente
Quando si usa un'identità assegnata dall'utente, aggiungere l'assegnazione di ruolo seguente alla risorsa UAI:
- Aprire il portale di Azure e individuare l'identità assegnata dall'utente in questione.
- In Controllo di accesso (IAM) fare clic su Aggiungi assegnazione di ruolo.
- Selezionare Ruolo: Operatore identità gestita. Vedere le autorizzazioni fornite dal ruolo managed-identity-operator.
- Assegnare l'accesso a: Utente, gruppo o entità servizio.
- Selezionare Membro: applicazione AFOI-NC-MGMT-PME-PROD.
- Esaminare e assegnare.