你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

管理 Azure IoT 操作部署的机密

Azure IoT 操作使用 Azure Key Vault 作为云端的托管保管库解决方案,同时使用 Kubernetes 的 Azure Key Vault 机密存储扩展将机密从云端同步下来并将其作为 Kubernetes 机密存储在边缘。

先决条件

  • 使用机密设置部署的 Azure IoT 操作实例。 如果已使用测试设置部署了 Azure IoT 操作,而现在想要使用机密,则需先启用安全设置

  • 在密钥保险库中创建机密需要资源级别的“机密主管”权限。 有关向用户分配角色的信息,请参阅分配 Azure 角色的步骤

添加和使用机密

Azure IoT 操作的机密管理使用机密存储扩展从 Azure Key Vault 同步机密并将其作为 Kubernetes 机密存储在边缘。 在部署期间启用安全设置时,你选择了 Azure Key Vault 进行机密管理。 要在 Azure IoT 操作中使用的所有机密都存储在这个 Key Vault 中。

注意

Azure IoT 操作实例仅与一个 Azure Key Vault 配合使用,不支持单个实例有多个密钥保管库。

完成设置机密管理的步骤后,可以开始将机密添加到 Azure Key Vault,然后使用操作体验 Web UI 将其同步到要在“资产终结点”或“数据流终结点”中使用的边缘

机密用在资产终结点和数据流终结点中进行身份验证。 在本部分,我们使用资产终结点作为示例,同样的机制可以应用于数据流终结点。 你可以选择直接在 Azure Key Vault 中创建机密并将其自动同步到边缘,或者使用密钥保管库中的现有机密引用:

屏幕截图显示了在操作体验中选择机密时出现的“从 Azure Key Vault 添加”和“新建”选项。

  • 创建新机密:在 Azure Key Vault 中创建机密引用,并使用机密存储扩展自动将机密同步到边缘。 如果事先没有在密钥保管库中创建此场景所需的机密,请使用此选项。

  • 从 Azure Key Vault 添加:将密钥保管库中的现有机密同步到边缘(如果之前未同步)。 选择此选项会显示所选密钥保管库中的机密引用列表。 如果事先在密钥保管库中创建了机密,请使用此选项。

将用户名和密码引用添加到资产终结点或数据流终结点时,需要为同步的机密命名。 机密引用将以此给定名称作为一种资源保存在边缘中。 在来自以下屏幕截图的示例中,用户名和密码引用被作为 edp1secrets 保存到边缘。

屏幕截图显示了在操作体验中选择用户名密码作为身份验证模式时同步的机密名称字段。

管理同步的机密

可以使用资产终结点和数据流终结点的“管理机密”来管理已同步的机密。 “管理机密”会显示你正在查看的资源边缘的所有当前同步机密的列表。 同步的机密代表一个或多个机密引用,具体取决于使用它的资源。 应用于已同步机密的任何操作都将应用于已同步机密中包含的所有机密引用。

也可在“管理机密”中删除已同步的机密。 删除已同步的机密时,只会从边缘删除已同步的机密,而不会从密钥保管库中删除包含的机密引用。

注意

在删除已同步的机密之前,请确保已从 Azure IoT 操作组件中删除对该机密的所有引用。