管理 Azure IoT 操作部署的秘密

Azure IoT 作業會使用 Azure 金鑰保存庫 作為雲端上的受控保存庫解決方案，並使用適用於 Kubernetes 的 Azure 金鑰保存庫 秘密存放區擴充功能，將秘密從雲端同步處理，並將其儲存在邊緣作為 Kubernetes 秘密。

必要條件

• 使用安全設定部署的 Azure IoT 作業實例。 如果您使用測試設定部署 Azure IoT 作業，而現在想要使用秘密，您必須先 啟用安全設定。

• 在金鑰保存庫中建立秘密需要 資源層級的秘密官員 許可權。 如需將角色指派給使用者的相關信息，請參閱 指派 Azure 角色的步驟。

新增和使用秘密

Azure IoT 作業的秘密管理會使用秘密存放區擴充功能來同步處理來自 Azure 金鑰保存庫 的秘密，並將其儲存在邊緣做為 Kubernetes 秘密。 當您在部署期間啟用安全設定時，您選取了 Azure 金鑰保存庫 進行秘密管理。 這是在此 金鑰保存庫 儲存 Azure IoT 作業內要使用的所有秘密。

注意

Azure IoT 作業實例只能與一個 Azure 金鑰保存庫 搭配運作，不支援每個實例有多個密鑰保存庫。

設定秘密管理步驟完成後，您就可以開始將秘密新增至 Azure 金鑰保存庫，並使用作業體驗 Web UI 將它們同步處理至要用於資產端點或數據流端點的邊緣。

秘密用於資產端點和數據流端點以進行驗證。 在本節中，我們使用資產端點作為範例，同樣可以套用至數據流端點。 您可以選擇直接在 Azure 金鑰保存庫 中建立秘密，並自動同步處理至邊緣，或使用金鑰保存庫中的現有秘密參考：

• 建立新的秘密：在 Azure 金鑰保存庫 中建立秘密參考，並使用秘密存放區擴充功能自動將秘密同步處理到邊緣。 如果您未事先在金鑰保存庫中建立此案例所需的秘密，請使用此選項。

• 從 Azure 金鑰保存庫 新增：如果金鑰保存庫中的現有秘密在之前未同步處理，則會同步處理至邊緣。 選取此選項會顯示選取此金鑰儲存庫中的秘密參考清單。 如果您事先在金鑰保存庫中建立秘密，請使用此選項。

當您將使用者名稱和密碼參考新增至資產端點或資料流端點時，您必須提供同步處理的密碼名稱。 秘密參考會以這個指定名稱儲存在邊緣中，做為一個資源。 在下列螢幕快照的範例中，用戶名稱和密碼參考會以edp1secrets的形式儲存至邊緣。

管理同步處理的秘密

您可以使用 管理資產端點和數據流端點的 秘密來管理同步處理的秘密。 管理秘密會顯示您正在檢視之資源邊緣上所有目前同步處理的秘密清單。 同步的秘密代表一或多個秘密參考，視使用的資源而定。 套用至同步密碼的任何作業都會套用至同步密碼中包含的所有秘密參考。

您可以在管理秘密中刪除同步的秘密。 當您刪除同步的秘密時，它只會從邊緣刪除同步的秘密，而且不會從密鑰保存庫刪除包含的秘密參考。

注意

刪除同步的秘密之前，請確定已從 Azure IoT Operations 元件移除對秘密的所有參考。