تطبيق ملحق Key Vault VM على Azure Cloud Services (الدعم الموسع)

  • مقالة

توفر هذه المقالة معلومات أساسية حول ملحق Azure Key Vault VM لنظام التشغيل Windows وتوضح لك كيفية تمكينه في Azure Cloud Services.

ما هو ملحق Key Vault VM؟

يوفر ملحق الجهاز الظاهري لـ Key Vault تحديثا تلقائيا للشهادات المخزنة في Azure Key Vault. على وجه التحديد، يراقب الملحق قائمة بالشهادات المرصودة المخزنة في مخازن المفاتيح. عندما يكتشف الملحق تغييرا، فإنه يسترد الشهادات المقابلة ويثبتها. لمزيد من المعلومات، راجع ملحق Key Vault VM لنظام التشغيل Windows.

ما الجديد في ملحق Key Vault VM؟

يتم الآن دعم ملحق Key Vault VM على النظام الأساسي لخدمات سحابة Azure (الدعم الموسع) لتمكين إدارة الشهادات من طرف إلى طرف. يمكن للملحق الآن سحب الشهادات من مخزن مفاتيح تم تكوينه في فاصل زمني محدد مسبقا للاستطلاع وتثبيتها للخدمة لاستخدامها.

كيف يمكنني استخدام ملحق Key Vault VM؟

سيوضح لك الإجراء التالي كيفية تثبيت ملحق Key Vault VM على Azure Cloud Services عن طريق إنشاء شهادة bootstrap أولا في المخزن الخاص بك للحصول على رمز مميز من Microsoft Entra ID. سيساعد هذا الرمز المميز في مصادقة الملحق مع المخزن. بعد إعداد عملية المصادقة وتثبيت الملحق، سيتم سحب جميع الشهادات الأخيرة تلقائيا في فواصل زمنية منتظمة للاستقصاء.

إشعار

يقوم ملحق Key Vault VM بتنزيل جميع الشهادات في مخزن شهادات Windows إلى الموقع الذي توفره الخاصية certificateStoreLocation في إعدادات ملحق الجهاز الظاهري. حاليا، يمنح ملحق Key Vault VM الوصول إلى المفتاح الخاص للشهادة فقط إلى حساب مسؤول النظام المحلي.

المتطلبات الأساسية

لاستخدام ملحق Azure Key Vault VM، تحتاج إلى مستأجر Microsoft Entra. لمزيد من المعلومات، راجع التشغيل السريع: إعداد مستأجر.

تمكين ملحق Azure Key Vault VM

  1. قم بإنشاء شهادة في مخزنك وقم بتنزيل ملف .cer لتلك الشهادة.

  2. في مدخل Microsoft Azure، انتقل إلى تسجيلات التطبيقات.

    Screenshot of resources available in the Azure portal, including app registrations.

  3. في صفحة تسجيلات التطبيق، حدد تسجيل جديد.

    Screenshot that shows the page for app registrations in the Azure portal.

  4. في الصفحة التالية، املأ النموذج وأكمل إنشاء التطبيق.

  5. قم بتحميل ملف .cer للشهادة إلى مدخل تطبيق Microsoft Entra.

    اختياريا، يمكنك استخدام ميزة إعلام Azure Event Grid ل Key Vault لتحميل الشهادة.

  6. امنح أذونات سرية لتطبيق Microsoft Entra في Key Vault:

    • إذا كنت تستخدم معاينة التحكم في الوصول استنادا إلى الدور (RBAC)، فابحث عن اسم تطبيق Microsoft Entra الذي أنشأته وقم بتعيينه إلى دور مستخدم Key Vault Secrets (معاينة).
    • إذا كنت تستخدم نهج الوصول إلى المخزن، فعين Secret-Get permissions لتطبيق Microsoft Entra الذي أنشأته. لمزيد من المعلومات، راجع تعيين نهج الوصول.

  7. قم بتثبيت ملحق Key Vault VM باستخدام مقتطف قالب Azure Resource Manager للمورد cloudService :

    {
    "osProfile":
    {
        "secrets":
        [
            {
                "sourceVault":
                {
                    "id": "[parameters('sourceVaultValue')]"
                },
                "vaultCertificates":
                [
                    {
                        "certificateUrl": "[parameters('bootstrpCertificateUrlValue')]"
                    }
                ]
            }
        ]
    },
    "extensionProfile":
    {
        "extensions":
        [
            {
                "name": "KVVMExtensionForPaaS",
                "properties":
                {
                    "type": "KeyVaultForPaaS",
                    "autoUpgradeMinorVersion": true,
                    "typeHandlerVersion": "1.0",
                    "publisher": "Microsoft.Azure.KeyVault",
                    "settings":
                    {
                        "secretsManagementSettings":
                        {
                            "pollingIntervalInS": "3600",
                            "certificateStoreName": "My",
                            "certificateStoreLocation": "LocalMachine",
                            "linkOnRenewal": false,
                            "requireInitialSync": false,
                            "observedCertificates": "[parameters('keyVaultObservedCertificates']"
                        },
                        "authenticationSettings":
                        {
                            "clientId": "Your AAD app ID",
                            "clientCertificateSubjectName": "Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
                        }
                    }
                }
            }
        ]
    }
}

    قد تحتاج إلى تحديد مخزن الشهادات لشهادة bootstrap في ServiceDefinition.csdef:

        <Certificates>
             <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
    </Certificates>

الخطوات التالية

قم بتحسين النشر بشكل أكبر من خلال تمكين المراقبة في Azure Cloud Services (الدعم الموسع) .