Hantera hemligheter för din Azure IoT Operations-distribution

Azure IoT Operations använder Azure Key Vault som lösning för hanterat valv i molnet och använder Azure Key Vault Secret Store-tillägget för Kubernetes för att synkronisera hemligheterna från molnet och lagra dem på gränsen som Kubernetes-hemligheter.

Förutsättningar

• En Azure IoT Operations-instans som distribuerats med säkra inställningar. Om du har distribuerat Azure IoT Operations med testinställningar och nu vill använda hemligheter måste du först aktivera säkra inställningar.

• För att skapa hemligheter i nyckelvalvet krävs behörigheter för hemlighetsansvariga på resursnivå. Information om hur du tilldelar roller till användare finns i Steg för att tilldela en Azure-roll.

Lägga till och använda hemligheter

Hemlighetshantering för Azure IoT Operations använder Secret Store-tillägget för att synkronisera hemligheterna från ett Azure Key Vault och lagra dem på gränsen som Kubernetes-hemligheter. När du aktiverade säkra inställningar under distributionen valde du ett Azure Key Vault för hemlig hantering. Det är i det här Key Vault där alla hemligheter som ska användas i Azure IoT Operations lagras.

Kommentar

Azure IoT Operations-instanser fungerar bara med ett Azure Key Vault, flera nyckelvalv per instans stöds inte.

När stegen för att konfigurera hantering av hemligheter har slutförts kan du börja lägga till hemligheter i Azure Key Vault och synkronisera dem till gränsen som ska användas i tillgångsslutpunkter eller dataflödesslutpunkter med hjälp av webbgränssnittet för driftupplevelsen.

Hemligheter används i tillgångsslutpunkter och dataflödesslutpunkter för autentisering. I det här avsnittet använder vi tillgångsslutpunkter som exempel. Samma sak kan tillämpas på dataflödesslutpunkter. Du kan välja att skapa hemligheten direkt i Azure Key Vault och få den automatiskt synkroniserad ned till kanten eller använda en befintlig hemlig referens från nyckelvalvet:

• Skapa en ny hemlighet: skapar en hemlig referens i Azure Key Vault och synkroniserar även hemligheten automatiskt ned till gränsen med hjälp av Secret Store-tillägget. Använd det här alternativet om du inte skapade den hemlighet som du behöver för det här scenariot i nyckelvalvet i förväg.

• Lägg till från Azure Key Vault: synkroniserar en befintlig hemlighet i nyckelvalvet ned till gränsen om den inte synkroniserades tidigare. Om du väljer det här alternativet visas listan med hemliga referenser i det valda nyckelvalvet. Använd det här alternativet om du skapade hemligheten i nyckelvalvet i förväg.

När du lägger till användarnamn- och lösenordsreferenserna till tillgångsslutpunkterna eller dataflödesslutpunkterna måste du ge den synkroniserade hemligheten ett namn. Hemliga referenser sparas i kanten med det här förnamnet som en resurs. I exemplet från skärmbilden nedan sparas användarnamn- och lösenordsreferenserna till gränsen som edp1secrets.

Hantera synkroniserade hemligheter

Du kan använda Hantera hemligheter för tillgångsslutpunkter och dataflödesslutpunkter för att hantera synkroniserade hemligheter. Hantera hemligheter visar listan över alla aktuella synkroniserade hemligheter vid gränsen för den resurs som du visar. En synkroniserad hemlighet representerar en eller flera hemliga referenser, beroende på vilken resurs som använder den. Alla åtgärder som tillämpas på en synkroniserad hemlighet tillämpas på alla hemliga referenser som finns i den synkroniserade hemligheten.

Du kan även ta bort synkroniserade hemligheter i hantera hemligheter. När du tar bort en synkroniserad hemlighet tar den bara bort den synkroniserade hemligheten från gränsen och tar inte bort den inneslutna hemliga referensen från nyckelvalvet.

Kommentar

Innan du tar bort en synkroniserad hemlighet kontrollerar du att alla referenser till hemligheten från Azure IoT Operations-komponenter tas bort.