Dela via

Konfigurera Key Vault för rotation av hanterade autentiseringsuppgifter i Operator Nexus

  • Artikel

Azure Operator Nexus använder hemligheter och certifikat för att hantera komponentsäkerhet över hela plattformen. Plattformen Operator Nexus hanterar rotationen av dessa hemligheter och certifikat. Som standard lagrar Operator Nexus autentiseringsuppgifterna i ett hanterat Nyckelvalv. För att behålla de roterade autentiseringsuppgifterna i sitt eget Key Vault måste användaren konfigurera sitt eget Nyckelvalv för att ta emot roterade autentiseringsuppgifter. Den här konfigurationen kräver att användaren konfigurerar Key Vault för Azure Operator Nexus-instansen. När användaren har skapats måste han eller hon lägga till en rolltilldelning i kundens nyckelvalv så att Operator Nexus Platform kan skriva uppdaterade autentiseringsuppgifter och dessutom länka kundens nyckelvalv till Nexus-klusterresursen.

Förutsättningar

  • Installera den senaste versionen av lämpliga CLI-tillägg
  • Hämta prenumerations-ID:t för kundens prenumeration

Kommentar

Ett enda Key Vault kan användas för valfritt antal kluster.

Konfigurera Key Vault med hanterad identitet för klustret

Kommentar

Den hanterade identitetsfunktionen för key vault- och klusterhanterad identitet finns med API:et 2024-10-01-preview och kommer att vara tillgänglig med GA-API:et 2025-02-01.

Se Stöd för Azure-operatörens Nexus-kluster för hanterade identiteter och resurser som tillhandahålls av användaren

Konfigurera Key Vault med hanterad identitet för Cluster Manager

Kommentar

Den här metoden är inaktuell med utrullningen av GA-API:et 2025-02-01. Det finns en övergångsperiod som stöder migrering, men befintliga användare bör försöka migrera till att använda den klusterhanterade identiteten. När ett kluster har uppdaterats för att använda inställningarna för hemligt arkiv och den klusterhanterade identiteten ignoreras klusterhanterarens hanterade identitet för rotation av autentiseringsuppgifter.

Från och med API-versionen 2024-07-01 används hanterade identiteter i Klusterhanteraren för skrivåtkomst för att leverera roterade autentiseringsuppgifter till ett nyckelvalv. Klusterhanterarens identitet kan vara systemtilldelad eller användartilldelad och kan hanteras direkt via API:er eller via CLI.

Information om hur du tilldelar hanterade identiteter till Klusterhanteraren finns i Klusterhanterarens identitet

Konfigurera Hemligt arkiv för Nexus-kluster

Registrera Customer Key Vault som hemligt arkiv för Nexus-klustret. Resurs-ID:t för nyckelvalvet måste konfigureras i klustret och aktiveras för att lagra klustrets hemligheter.

Exempel:

# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"

# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive

Om du vill ha mer hjälp:

az networkcloud cluster update --secret-archive ?? --help

Hämta huvud-ID:t för den hanterade klusterhanterarens identitet

När en hanterad identitet har konfigurerats använder du CLI för att visa identiteten och tillhörande huvudnamns-ID-data i klusterhanteraren.

Exempel:

az networkcloud clustermanager show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Manager Resource Group Name>/providers/Microsoft.NetworkCloud/clusterManagers/<Cluster Manager Name>

Exempel på systemtilldelad identitet:

    "identity": {
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "type": "SystemAssigned"
    },

Exempel på användartilldelad identitet:

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                "principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
            }
        }
    },

Se Konfigurera Nyckelvalv med hanterad identitet för klustret för att tilldela lämplig roll till huvud-ID:t för hanterad identitet.