تطبيق ملحق الجهاز الظاهري Key Vault على Azure Cloud Services (الدعم الموسع)

توفر هذه المقالة معلومات أساسية حول ملحق Azure Key Vault VM لنظام التشغيل Windows وتوضح لك كيفية تمكينه في Azure Cloud Services.

ما هو ملحق الجهاز الظاهري Key Vault؟

يوفر ملحق الجهاز الظاهري لـ Key Vault تحديثًا تلقائيًا للشهادات المخزنة في Azure Key Vault. على وجه التحديد، يراقب الملحق قائمة بالشهادات المرصودة المخزنة في مخازن المفاتيح. عندما يكتشف الملحق تغييرا، فإنه يسترد الشهادات المقابلة ويثبتها. لمزيد من المعلومات، راجع ملحق الجهاز الظاهري Key Vault لنظام التشغيل Windows.

ما الجديد في ملحق الجهاز الظاهري Key Vault؟

يتم الآن دعم ملحق الجهاز الظاهري Key Vault على النظام الأساسي لخدمات سحابة Azure (الدعم الموسع) لتمكين إدارة الشهادات من طرف إلى طرف. يمكن للملحق الآن سحب الشهادات من مخزن مفاتيح تم تكوينه في فاصل زمني محدد مسبقا للاستقصاء وتثبيتها للخدمة لاستخدامها.

كيف يمكنني استخدام ملحق الجهاز الظاهري Key Vault؟

سيوضح لك الإجراء التالي كيفية تثبيت ملحق الجهاز الظاهري Key Vault على Azure Cloud Services عن طريق إنشاء شهادة bootstrap أولا في مخزنك للحصول على رمز مميز من Azure Active Directory (Azure AD). سيساعد هذا الرمز المميز في مصادقة الملحق مع المخزن. بعد إعداد عملية المصادقة وتثبيت الملحق، سيتم سحب جميع الشهادات الأخيرة تلقائيا في فواصل زمنية منتظمة للاستقصاء.

ملاحظة

يقوم ملحق الجهاز الظاهري Key Vault بتنزيل جميع الشهادات في مخزن شهادات Windows إلى الموقع الذي توفره الخاصية certificateStoreLocation في إعدادات ملحق الجهاز الظاهري. حاليا، يمنح ملحق الجهاز الظاهري Key Vault الوصول إلى المفتاح الخاص للشهادة فقط إلى حساب مسؤول النظام المحلي.

المتطلبات الأساسية

لاستخدام ملحق Azure Key Vault VM، تحتاج إلى مستأجر Azure AD. لمزيد من المعلومات، راجع التشغيل السريع: إعداد مستأجر.

تمكين ملحق Azure Key Vault VM

  1. قم بإنشاء شهادة في مخزنك وقم بتنزيل ملف .cer لتلك الشهادة.

  2. في مدخل Microsoft Azure، انتقل إلى App registrations.

    Screenshot of resources available in the Azure portal, including app registrations.

  3. في صفحة App registrations ، حدد New registration.

    Screenshot that shows the page for app registrations in the Azure portal.

  4. في الصفحة التالية، املأ النموذج وأكمل إنشاء التطبيق.

  5. قم بتحميل ملف .cer للشهادة إلى مدخل تطبيق Azure AD.

    اختياريا، يمكنك استخدام ميزة إعلام Azure Event Grid Key Vault لتحميل الشهادة.

  6. امنح أذونات البيانات السرية لتطبيق Azure Active Directory في Key Vault:

    • إذا كنت تستخدم معاينة التحكم في الوصول استنادا إلى الدور (RBAC)، فابحث عن اسم تطبيق Azure AD الذي أنشأته وقم بتعيينه إلى دور Key Vault Secrets User (preview).
    • إذا كنت تستخدم نهج الوصول إلى المخزن، فعين أذونات Secret-Get لتطبيق Azure AD الذي أنشأته. لمزيد من المعلومات، راجع تعيين نهج الوصول.
  7. قم بتثبيت ملحق الجهاز الظاهري Key Vault باستخدام مقتطف قالب Azure Resource Manager للموردcloudService:

    {
        "osProfile":
        {
            "secrets":
            [
                {
                    "sourceVault":
                    {
                        "id": "[parameters('sourceVaultValue')]"
                    },
                    "vaultCertificates":
                    [
                        {
                            "certificateUrl": "[parameters('bootstrpCertificateUrlValue')]"
                        }
                    ]
                }
            ]
        },
        "extensionProfile":
        {
            "extensions":
            [
                {
                    "name": "KVVMExtensionForPaaS",
                    "properties":
                    {
                        "type": "KeyVaultForPaaS",
                        "autoUpgradeMinorVersion": true,
                        "typeHandlerVersion": "1.0",
                        "publisher": "Microsoft.Azure.KeyVault",
                        "settings":
                        {
                            "secretsManagementSettings":
                            {
                                "pollingIntervalInS": "3600",
                                "certificateStoreName": "My",
                                "certificateStoreLocation": "LocalMachine",
                                "linkOnRenewal": false,
                                "requireInitialSync": false,
                                "observedCertificates": "[parameters('keyVaultObservedCertificates']"
                            },
                            "authenticationSettings":
                            {
                                "clientId": "Your AAD app ID",
                                "clientCertificateSubjectName": "Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
                            }
                        }
                    }
                }
            ]
        }
    }
    

    قد تحتاج إلى تحديد مخزن الشهادات لشهادة bootstrap في ServiceDefinition.csdef:

        <Certificates>
                 <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
        </Certificates> 
    

الخطوات التالية

قم بتحسين النشر الخاص بك عن طريق تمكين المراقبة في Azure Cloud Services (الدعم الموسع).