次の方法で共有

Azure Local でシークレットをローテーションする

  • [アーティクル]

適用対象: Azure Local 2311.2 以降

この記事では、Azure Local のデプロイ ユーザーに関連付けられているパスワードを変更する方法について説明します。

デプロイ ユーザーのパスワードを変更する

PowerShell コマンドレット Set-AzureStackLCMUserPassword を使用して、ドメイン管理者の資格情報シークレットAzureStackLCMUserCredential ローテーションします。 このコマンドレットは、サーバー ホストに接続するユーザーのパスワードを変更します。

Note

Set-AzureStackLCMUserPasswordを実行すると、コマンドレットは Active Directory で以前に変更されたもののみを更新します。

PowerShell コマンドレットとプロパティ

Set-AzureStackLCMUserPassword コマンドレットは、次のパラメーターを受け取ります。

パラメーター 説明
Identity パスワードを変更するユーザーのユーザー名。
OldPassword ユーザーの現在のパスワード。
NewPassword ユーザーの新しいパスワード。
UpdateAD Active Directory で新しいパスワードを設定するために使用する省略可能なパラメーター。

Set-AzureStackLCMUserPassword コマンドレットを実行する

パラメーターを設定し、 Set-AzureStackLCMUserPassword コマンドレットを実行してパスワードを変更します。

$old_pass = convertto-securestring "<Old password>" -asplaintext -force
$new_pass = convertto-securestring "<New password>" -asplaintext -force

Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD

パスワードが変更されると、セッションは終了します。 その後、更新されたパスワードでサインインする必要があります。

Set-AzureStackLCMUserPasswordを使用する場合の出力例を次に示します。

PS C:\Users\MGMT> $old_pass = convertto-securestring "Passwordl23!" -asplaintext -force 
PS C:\Users\MGMT> $new_pass = convertto-securestring "Passwordl23!1" -asplaintext -force
PS C:\Users\MGMT> Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD 
WARNING: !WARNING!
The current session will be unresponsive once this command completes. You will have to login again with updated credentials. Do you want to continue?
Updating password in AD.
WARNING: Please close this session and log in again.
PS C:\Users\MGMT>

クラスター監視ストレージ アカウント キーを変更する

このセクションでは、クラスター監視ストレージ アカウントのストレージ アカウント キーを変更する方法について説明します。

  1. デプロイ ユーザーの資格情報を使用して、いずれかの Azure ローカル ノードにサインインします。

  2. セカンダリ ストレージ アカウント キーを使用して監視クォーラムを構成します。

    Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account secondary key>

  3. ストレージ アカウントの主キーをローテーションします。

  4. ローテーションされたストレージ アカウント キーを使用してミラーリング監視クォーラムを構成します。

    Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account primary key>

  5. ストレージ アカウントのセカンダリ キーをローテーションします。

  6. ECE ストアのストレージ アカウントの主キーを更新します。

    $SecureSecretText = ConvertTo-SecureString -String "<Replace Storage account key>" -AsPlainText -Force
$WitnessCred = New-Object -Type PSCredential -ArgumentList "WitnessCredential,$SecureSecretText"
Set-ECEServiceSecret -ContainerName WitnessCredential -Credential $WitnessCred

Arc VM イメージに使用されるストレージ アカウントの SAS トークンを取り消す

このセクションでは、Arc VM イメージに使用されるストレージ アカウントの Shared Access Signature (SAS) トークンを取り消す方法について説明します。

SAS ポリシー SAS の有効期限が切れていますか? 取り消す手順
任意の SAS はい SAS が無効になったので、アクションは必要ありません。
アドホックSASがアカウントキーで署名された いいえ SAS の作成に使用 ストレージ アカウント キーを手動でローテーションまたは再生成します。
アドホックSASはユーザー委任キーで署名されています いいえ ユーザー委任キーの取り消しまたはロールの割り当ての変更については、「ユーザー委任 SASの取り消し」を参照してください。
保存されたアクセス ポリシーを含む SAS いいえ 有効期限を過去の日付または時刻に更新したり、保存されているアクセス ポリシーを削除したりするには、「保存されているアクセス ポリシーを変更または取り消す」を参照してください。

詳細については、「SASの取り消し」を参照してください。

デプロイ サービス プリンシパルの変更

このセクションでは、デプロイに使用するサービス プリンシパルを変更する方法について説明します。

Note

このシナリオは、Azure Local 2306 ソフトウェアを Azure Local バージョン 23H2 にアップグレードした場合にのみ適用されます。

デプロイ サービス プリンシパルを変更するには、次の手順に従います。

  1. Microsoft Entra ID にサインオンします。

  2. Azure ローカル インスタンスのデプロイ時に使用したサービス プリンシパルを見つけます。 サービス プリンシパルの新しいクライアント シークレットを作成します。

  3. 既存のサービス プリンシパルと新しいappID<client secret>をメモしておきます。

  4. デプロイ ユーザーの資格情報を使用して、いずれかの Azure ローカル マシンにサインオンします。

  5. Azure にサインインします。 次の PowerShell コマンドを実行します。

    Connect-AzAccount

  6. サブスクリプションのコンテキストを設定します。 次の PowerShell コマンドを実行します。

    Set-AzContext -Subscription <Subscription ID>

  7. サービス プリンシパル名を更新します。 次の PowerShell コマンドを実行します。

    cd "C:\Program Files\WindowsPowerShell\Modules\Microsoft.AS.ArcIntegration"
Import-Module Microsoft.AS.ArcIntegration.psm1 -Force
$secretText=ConvertTo-SecureString -String <client secret> -AsPlainText -Force
Update-ServicePrincipalName -AppId <appID> -SecureSecretText $secretText

ARB サービス プリンシパル シークレットの変更

このセクションでは、デプロイ時に作成した Azure リソース ブリッジに使用されるサービス プリンシパルを変更する方法について説明します。

デプロイ サービス プリンシパルを変更するには、次の手順に従います。

  1. Microsoft Entra ID にサインインします。

  2. Azure リソース ブリッジのサービス プリンシパルを見つけます。 サービス プリンシパルの名前は、ClusternameXX.arbの形式です。

  3. サービス プリンシパルの新しいクライアント シークレットを作成します。

  4. 既存のサービス プリンシパルと新しいappID<client secret>をメモしておきます。

  5. デプロイ ユーザーの資格情報を使用して、いずれかの Azure ローカル マシンにサインインします。

  6. 次の PowerShell コマンドを実行します。

    $SubscriptionId= "<Subscription ID>" 
$TenantId= "<Tenant ID>"
$AppId = "<Application ID>" 
$secretText= "<Client secret>" 
$NewPassword = ConvertTo-SecureString -String $secretText -AsPlainText -Force 
Set-AzureStackRPSpCredential -SubscriptionID $SubscriptionId -TenantID $TenantId -AppId $AppId -NewPassword $NewPassword

次のステップ

前提条件とチェックリストを完了し、Azure Localをインストールします。