Delen via

Key Vault instellen voor rotatie van beheerde referenties in Operator Nexus

  • Artikel

Azure Operator Nexus maakt gebruik van geheimen en certificaten om de beveiliging van onderdelen op het platform te beheren. Het Operator Nexus-platform verwerkt de rotatie van deze geheimen en certificaten. Operator Nexus slaat standaard de referenties op in een beheerde sleutelkluis. Als u de gedraaide referenties in hun eigen Key Vault wilt behouden, moet de gebruiker zijn eigen Key Vault configureren om gerouleerde referenties te ontvangen. Voor deze configuratie moet de gebruiker de Key Vault instellen voor het Azure Operator Nexus-exemplaar. Zodra deze is gemaakt, moet de gebruiker een roltoewijzing toevoegen aan de Key Vault van de klant om het Operator Nexus Platform toe te staan bijgewerkte referenties te schrijven en de Key Vault van de klant aan de Nexus-clusterresource te koppelen.

Vereisten

  • Installeer de nieuwste versie van de juiste CLI-extensies
  • De abonnements-id voor het abonnement van de klant ophalen

Notitie

Eén Key Vault kan worden gebruikt voor een willekeurig aantal clusters.

Key Vault configureren met beheerde identiteit voor clusterbeheer

Vanaf de API-versie 2024-06-01-public-preview worden beheerde identiteiten in Clusterbeheer gebruikt voor schrijftoegang voor het leveren van gerouleerde referenties aan een sleutelkluis. De clusterbeheer-identiteit kan door het systeem zijn toegewezen of door de gebruiker toegewezen, en kan rechtstreeks worden beheerd via API's of via CLI.

In deze voorbeelden wordt beschreven hoe u een beheerde identiteit voor clusterbeheer configureert.

  • Clusterbeheer maken of bijwerken met door het systeem toegewezen identiteit
        az networkcloud clustermanager create --name "clusterManagerName" --location "location" \
        --analytics-workspace-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
        --fabric-controller-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/fabricControllerName" \
        --managed-resource-group-configuration name="my-managed-rg" --tags key1="myvalue1" key2="myvalue2" --resource-group "resourceGroupName" --mi-system-assigned

  • Clusterbeheer maken of bijwerken met door de gebruiker toegewezen identiteit
        az networkcloud clustermanager create --name <Cluster Manager Name> --location <Location> \
        --analytics-workspace-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
        --fabric-controller-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/fabricControllerName" \
        --managed-resource-group-configuration name="my-managed-rg" --tags key1="myvalue1" key2="myvalue2" \
        --resource-group <Resource Group Name> --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAI"

  • Door het systeem toegewezen identiteit toevoegen aan Clusterbeheer
        az networkcloud clustermanager update --name <Cluster Manager Name> --resource-group <Resource Group Name> --mi-system-assigned

  • Door de gebruiker toegewezen identiteit toevoegen aan Clusterbeheer
        az networkcloud clustermanager update --name <Cluster Manager Name> --resource-group <Resource Group Name> \
        --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAI"

Nexus Cluster Secret Archive configureren

Registreer de Key Vault van de klant als het geheime archief voor het Nexus-cluster. De resource-id van de sleutelkluis moet worden geconfigureerd in het cluster en moet zijn ingeschakeld om de geheimen van het cluster op te slaan.

Voorbeeld:

# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"

# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive

Voor meer hulp:

az networkcloud cluster update --secret-archive ?? --help

De principal-id ophalen voor de beheerde identiteit van Cluster Manager

Zodra een beheerde identiteit is geconfigureerd, gebruikt u de CLI om de identiteit en de bijbehorende principal-id-gegevens in clusterbeheer weer te geven.

Voorbeeld:

az networkcloud clustermanager show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Manager Resource Group Name>/providers/Microsoft.NetworkCloud/clusterManagers/<Cluster Manager Name>

Voorbeeld van door het systeem toegewezen identiteit:

    "identity": {
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "type": "SystemAssigned"
    },

Voorbeeld van door de gebruiker toegewezen identiteit:

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                "principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
            }
        }
    },

Raadpleeg Beheerde identiteit toegang verlenen tot een Sleutelkluis voor referentierotatie om de juiste rol toe te wijzen aan de principal-id van beheerde identiteit.

Key Vault configureren met beheerde identiteit voor cluster

Belangrijk

Houd er rekening mee dat deze methode voor het configureren van een sleutelkluis voor het rouleren van referenties in preview is. Deze methode kan alleen worden gebruikt met sleutelkluizen waarvoor geen firewall is ingeschakeld. Als voor uw omgeving de sleutelkluisfirewall is ingeschakeld, gebruikt u de bestaande identiteitsmethode clusterbeheer .

Vanaf de API 2024-10-01-preview kunnen beheerde identiteiten in de Nexus-clusterresource worden gebruikt in plaats van Clusterbeheer. De door het cluster beheerde identiteit kan door het systeem zijn toegewezen of door de gebruiker toegewezen, en kan rechtstreeks worden beheerd via API's of via CLI.

Notitie

Als de beheerde identiteit van het Nexus-cluster is geconfigureerd voor de sleutelkluis, worden deze instellingen vervangen door instellingen die zijn geconfigureerd in Key Vault configureren met beheerde identiteit voor Clusterbeheer

Archiefinstellingen voor Nexus-clustergeheim configureren

De instellingen voor het geheimarchief van het Nexus-cluster geven de Azure Key Vault-URI op waar gedraaide referenties worden opgeslagen en de beheerde identiteit die wordt gebruikt om er toegang toe te krijgen.

In deze voorbeelden wordt beschreven hoe u een beheerde identiteit voor een Nexus-cluster configureert en configureert als onderdeel van secret-archive-settings.

Notitie

Archiefinstellingen voor geheimen geven de Key Vault-URI op, niet de Key Vault-resource-id en de opgegeven beheerde identiteit moet worden geconfigureerd voor het Nexus-cluster.

  • Maak Een Nexus-cluster met door het systeem toegewezen identiteit voor toegang tot Key Vault voor gedraaide referenties.
az networkcloud cluster create --name "<cluster-name>" \
  --resource-group "<cluster-resource-group>" \
  ...
  --mi-system-assigned \
  --secret-archive-settings identity-type="SystemAssignedIdentity" vault-uri="https://<key vault name>.vault.azure.net/"
  ...
  --subscription "<subscription>"

  • Maak Een Nexus-cluster met door de gebruiker toegewezen identiteit voor toegang tot Key Vault voor gedraaide referenties.
az networkcloud cluster create --name "<cluster-name>" \
  --resource-group "<cluster-resource-group>" \
  ...
  --mi-user-assigned "<user-assigned-identity-resource-id>" \
  --secret-archive-settings identity-type="UserAssignedIdentity" identity-resource-id="<user-assigned-identity-resource-id>" vault-uri="https://<key vault name>.vault.azure.net/"
  ...
  --subscription "<subscription>"

  • Werk het bestaande Nexus-cluster bij met door het systeem toegewezen identiteit voor toegang tot Key Vault voor gedraaide referenties.
az networkcloud cluster update --ids <cluster-resource-id> \
  --mi-system-assigned \
  --secret-archive-settings identity-type="SystemAssignedIdentity" vault-uri="https://<key vault name>.vault.azure.net/"

  • Bestaand Nexus-cluster bijwerken met door de gebruiker toegewezen identiteit
az networkcloud cluster update --ids <cluster-resource-id> \
  --mi-user-assigned "<user-assigned-identity-resource-id>" \
  --secret-archive-settings identity-type="UserAssignedIdentity" identity-resource-id="<user-assigned-identity-resource-id>" vault-uri="https://<key vault name>.vault.azure.net/"

Voor meer hulp:

az networkcloud cluster update --secret-archive-settings '??' --help

De principal-id voor de beheerde clusteridentiteit ophalen

Zodra een beheerde identiteit is geconfigureerd voor het Nexus-cluster, gebruikt u de CLI om de identiteit weer te geven en de principalId op te halen voor de beheerde identiteit die is opgegeven in de geheime archiefinstellingen.

Voorbeeld:

az networkcloud cluster show --ids <cluster-resource-id>

Voorbeeld van door het systeem toegewezen identiteit:

    "identity": {
        "principalId": "2cb564c1-b4e5-4c71-bbc1-6ae259aa5f87",
        "tenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "type": "SystemAssigned"
    },

Voorbeeld van door de gebruiker toegewezen identiteit:

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "e67dd610-99cf-4853-9fa0-d236b214e984",
                "principalId": "8e6d23d6-bb6b-4cf3-a00f-4cd640ab1a24"
            }
        }
    },

Raadpleeg Beheerde identiteit toegang verlenen tot een Sleutelkluis voor referentierotatie om de juiste rol toe te wijzen aan de principal-id van beheerde identiteit.

Beheerde identiteit toegang verlenen tot een sleutelkluis voor referentierotatie

Notitie

Een door de gebruiker toegewezen beheerde identiteit kan worden gemaakt en toegewezen toegang tot de sleutelkluis voordat het Nexus-cluster wordt gemaakt en voorafgaand aan de implementatie. Een door het systeem toegewezen identiteit moet toegang krijgen tot de sleutelkluis nadat het cluster is gemaakt, maar vóór de implementatie.

  • Wijs de operator Nexus Key Vault Writer-servicerol toe. Zorg ervoor dat op rollen gebaseerd toegangsbeheer van Azure is geselecteerd als het machtigingsmodel voor de sleutelkluis in de toegangsconfiguratieweergave . Selecteer vervolgens in de weergave Toegangsbeheer om een roltoewijzing toe te voegen.
Rolnaam Id van roldefinitie
Operator Nexus Key Vault Writer-servicerol (preview) 44f0a1a8-6fea-4b35-980a-8ff50c487c97

Voorbeeld: 
az role assignment create --assignee <Managed Identity Principal Id> --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>

Als u een door de gebruiker toegewezen beheerde identiteit gebruikt, gaat u verder met het toevoegen van machtigingen aan door de gebruiker toegewezen identiteit

Een machtiging toevoegen aan door de gebruiker toegewezen identiteit

Wanneer u een door de gebruiker toegewezen beheerde identiteit gebruikt om toegang te krijgen tot een Key Vault, is een klant vereist om toegang tot die identiteit in te richten voor het Nexus-platform. Microsoft.ManagedIdentity/userAssignedIdentities/assign/action In het bijzonder moet de machtiging worden toegevoegd aan de door de gebruiker toegewezen identiteit voor AFOI-NC-MGMT-PME-PROD Microsoft Entra-id. Het is een bekende beperking van het platform dat in de toekomst zal worden aangepakt.

  1. Open Azure Portal en zoek de door de gebruiker toegewezen identiteit.
  2. Klik onder Toegangsbeheer (IAM) op Roltoewijzing toevoegen.
  3. Rol selecteren: Operator voor beheerde identiteit. (Zie de machtigingen die de rol biedt beheerde identiteit-operator).
  4. Toegang toewijzen aan: Gebruiker, groep of service-principal.
  5. Selecteer Lid: AFOI-NC-MGMT-PME-PROD-toepassing.
  6. Controleer en wijs deze toe.