Compartilhar via


Usar certificados para acessar com segurança o Azure Key Vault com o Lote

Aviso

Os certificados da conta do Lote detalhados neste artigo foram preteridos. Para acessar com segurança o Azure Key Vault, basta usar as Identidades gerenciadas do pool com as permissões de acesso apropriadas configuradas para a identidade gerenciada atribuída pelo usuário para acessar seu Key Vault. Se você precisar provisionar certificados em nós do Lote, utilize a extensão de VM do Azure Key Vault disponível em conjunto com a Identidade Gerenciada do pool para instalar e gerenciar certificados no pool do Lote. Para saber mais sobre como implantar certificados do Azure Key Vault com a Identidade Gerenciada em pools do Lote, consulte Habilitar a rotação automática de certificados em um pool do Lote.

Neste artigo, você aprenderá a configurar os nós do Lote com certificados para acessar com segurança as credenciais armazenadas no Azure Key Vault.

Para autenticar o Azure Key Vault em um nó de Lote, você precisará de:

  • Uma credencial do Microsoft Entra
  • Um certificado
  • Uma conta do lote
  • Um pool do lote com pelo menos um nó

Obter um certificado

Se você ainda não tiver um certificado, use o cmdlet New-SelfSignedCertificatedo PowerShell para criar um certificado autoassinado.

Criar uma entidade de serviço

O acesso a Key Vault é concedido a um usuário ou a uma entidade de serviço. Para acessar o Key Vault de modo programático, use uma entidade de serviço com o certificado que você criou na etapa anterior. A entidade de serviço deve estar no mesmo locatário do Microsoft Entra que o Key Vault.

$now = [System.DateTime]::Parse("2020-02-10")
# Set this to the expiration date of the certificate
$expirationDate = [System.DateTime]::Parse("2021-02-10")
# Point the script at the cer file you created $cerCertificateFilePath = 'c:\temp\batchcertificate.cer'
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$cer.Import($cerCertificateFilePath)
# Load the certificate into memory
$credValue = [System.Convert]::ToBase64String($cer.GetRawCertData())
# Create a new AAD application that uses this certificate
$newADApplication = New-AzureRmADApplication -DisplayName "Batch Key Vault Access" -HomePage "https://batch.mydomain.com" -IdentifierUris "https://batch.mydomain.com" -certValue $credValue -StartDate $now -EndDate $expirationDate
# Create new AAD service principal that uses this application
$newAzureAdPrincipal = New-AzureRmADServicePrincipal -ApplicationId $newADApplication.ApplicationId

As URLs do aplicativo não são importantes, pois elas estão sendo usadas somente para acesso ao Key Vault.

Conceder direitos para Key Vault

A entidade de serviço criada na etapa anterior precisa de permissão para recuperar os segredos de Key Vault. A permissão pode ser concedida por meio do portal do Azure ou com o comando do PowerShell abaixo.

Set-AzureRmKeyVaultAccessPolicy -VaultName 'BatchVault' -ServicePrincipalName '"https://batch.mydomain.com' -PermissionsToSecrets 'Get'

Atribuir um certificado de uma conta de Lote

Crie um pool do Lote, vá para a guia certificado no pool e atribua o certificado que você criou. O certificado agora está em todos os nós do Lote.

Em seguida, atribua o certificado à conta do Lote. A atribuição do certificado à conta nos permite que o Lote o atribua aos pools e nós. A maneira mais fácil de fazer isso é acessar sua conta do Lote no portal, navegar até Certificados e selecionar Adicionar. Carregue o arquivo .pfx gerado anteriormente e forneça a senha. Depois de concluído, o certificado é adicionado à lista e você pode verificar a impressão digital.

Agora, ao criar um pool do Lote, você poderá navegar até Certificados dentro do pool e atribuir a esse pool o certificado que você criou. Ao fazer isso, certifique-se de selecionar LocalMachine para o local de armazenamento. O certificado é carregado em todos os nós do Lote no pool.

Instalar o Azure PowerShell

Se você planeja acessar Key Vault usando scripts do PowerShell em seus nós, precisará da biblioteca Azure PowerShell instalada. Se os seus nós tiverem o WMF (Windows Management Framework) 5 instalado, você poderá usar o comando install-module para baixá-lo. Se você está usando nós que não têm o WMF 5, a maneira mais fácil de instalá-lo é agrupar o arquivo .msi do Azure PowerShell aos seus arquivos do Lote e chamar o instalador como a primeira parte do script de inicialização do Lote. Consulte este exemplo para obter detalhes:

$psModuleCheck=Get-Module -ListAvailable -Name Azure -Refresh
if($psModuleCheck.count -eq 0) {
    $psInstallerPath = Join-Path $downloadPath "azure-powershell.3.4.0.msi" Start-Process msiexec.exe -ArgumentList /i, $psInstallerPath, /quiet -wait
}

Acessar Key Vault

Agora, você está pronto para acessar o Key Vault em scripts em execução nos seus nós do Lote. Para acessar o Key Vault de um script, tudo o que você precisa é que seu script se autentique na ID do Microsoft Entra usando o certificado. Para fazer isso no PowerShell, use os comandos de exemplo a seguir. Especifique o GUID apropriado para impressão digital, ID do aplicativo (a ID da entidade de serviço) e a ID do locatário (o locatário onde a entidade de serviço existe).

Add-AzureRmAccount -ServicePrincipal -CertificateThumbprint -ApplicationId

Depois de autenticado, acesse o KeyVault como você faria normalmente.

$adminPassword=Get-AzureKeyVaultSecret -VaultName BatchVault -Name batchAdminPass

Essas são as credenciais a serem usadas no seu script.

Próximas etapas