Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure IoT Einsatz verwendet Azure Key Vault als verwaltete Tresorlösung in der Cloud und die Azure Key Vault Secret Store-Erweiterung für Kubernetes, um Geheimnisse aus der Cloud zu synchronisieren und sie am Edge als Kubernetes-Geheimnisse zu speichern.
Von Bedeutung
Befolgen Sie bewährte Methoden, um den Azure Key Vault zu schützen, den Sie mit Azure IoT Operations verwenden. Die Sicherstellung der Sicherheit Ihres Key Vault ist entscheidend, um Ihre Geheimnisse zu schützen. Ausführliche Anleitungen zum Sichern Ihres Azure Key Vault finden Sie unter Bewährte Methoden für die Verwendung von Azure Key Vault.
Voraussetzungen
Eine Instanz von Azure IoT Einsatz, die mit sicheren Einstellungen bereitgestellt wurde. Wenn Sie Azure IoT Einsatz mit Testeinstellungen bereitgestellt haben und jetzt Geheimnisse verwenden möchten, müssen Sie zuerst sichere Einstellungen aktivieren.
Das Erstellen von Geheimnissen im Schlüsseltresor erfordert Berechtigungen vom Typ Geheimnisbeauftragter auf Ressourcenebene. Informationen zum Zuweisen von Rollen zu Benutzern finden Sie unter Schritte zum Zuweisen einer Azure-Rolle.
Hinzufügen und Verwenden von Geheimnissen
Die Geheimnisverwaltung für Azure IoT Einsatz verwendet die Secret Store-Erweiterung, um die Geheimnisse aus einer Azure Key Vault-Instanz zu synchronisieren und sie als Kubernetes-Geheimnisse am Edge zu speichern. Wenn Sie während der Bereitstellung sichere Einstellungen aktiviert haben, haben Sie eine Azure Key Vault-Instanz für die Geheimnisverwaltung ausgewählt. In diesem Schlüsseltresor werden alle Geheimnisse gespeichert, die in Azure IoT Einsatz verwendet werden sollen.
Hinweis
Azure IoT Einsatz-Instanzen funktionieren nur mit einem Schlüsseltresor. Mehrere Schlüsseltresore pro Instanz werden nicht unterstützt.
Sobald die Einrichtung der Schritte zur Verwaltung von geheimen Schlüsseln abgeschlossen ist, können Sie mit dem Hinzufügen von Geheimschlüsseln zum Azure Key Vault beginnen und sie mit dem Kubernetes-Cluster synchronisieren, der in Asset Endpoints oder Datenflussendpunkten mithilfe der Webbenutzeroberfläche für Vorgänge verwendet werden soll.
Geheimnisse werden in Ressourcen- und Datenflussendpunkten für die Authentifizierung verwendet. In diesem Abschnitt werden Asset-Endpunkte als Beispiel verwendet. Derselbe Prozess kann auf Datenflussendpunkte angewendet werden. Sie haben die Möglichkeit, den geheimen Schlüssel im Azure Key Vault direkt zu erstellen und automatisch mit dem Cluster synchronisiert zu haben, oder einen vorhandenen geheimen Verweis aus dem Schlüsseltresor verwenden:
Wechseln Sie zur Seite " Objektendpunkte " in der Web-Ui für Vorgänge .
Wenn Sie einen neuen geheimen Verweis hinzufügen möchten, wählen Sie "Verweis hinzufügen " aus, wenn Sie einen neuen Objektendpunkt erstellen:
Erstellen Eines neuen geheimen Schlüssels: Erstellt einen geheimen Verweis im Azure Key Vault und synchronisiert den geheimen Schlüssel automatisch mithilfe der Secret Store-Erweiterung mit dem Cluster. Verwenden Sie diese Option, wenn Sie das Geheimnis, das Sie für dieses Szenario benötigen, nicht bereits im Schlüsseltresor erstellt haben.
Aus Azure Key Vault hinzufügen: Synchronisiert einen vorhandenen geheimen Schlüssel im Schlüsseltresor nach unten mit dem Cluster, wenn er noch nicht synchronisiert wurde. Wenn Sie diese Option auswählen, wird die Liste der Geheimnisverweise im ausgewählten Schlüsseltresor angezeigt. Verwenden Sie diese Option, wenn Sie das Geheimnis im Schlüsseltresor bereits erstellt haben. Nur die neueste Version des geheimen Schlüssels wird mit dem Cluster synchronisiert.
Wenn Sie den Ressourcen- oder Datenflussendpunkten die Benutzernamen- und Kennwortverweise hinzufügen, müssen Sie dem synchronisierten Geheimnis einen Namen geben. Die geheimen Verweise werden im Cluster mit diesem Vornamen als eine geheime Synchronisierungsressource gespeichert. Im Beispiel aus dem folgenden Screenshot werden die Benutzernamen- und Kennwortverweise als edp1secrets im Cluster gespeichert.
Verwalten synchronisierter geheimer Schlüssel
In diesem Abschnitt werden Asset-Endpunkte als Beispiel verwendet. Derselbe Prozess kann auf Datenflussendpunkte angewendet werden:
Wechseln Sie zur Seite " Objektendpunkte " in der Web-Ui für Vorgänge .
Um die Liste der geheimen Schlüssel anzuzeigen, wählen Sie "Zertifikate und Geheime Schlüssel verwalten" und dann "Geheime Schlüssel" aus:
Sie können die Seite "Geheime Schlüssel" verwenden, um synchronisierte geheime Schlüssel in Ihren Objektendpunkten und Datenflussendpunkten anzuzeigen. Auf der Seite "Geheime Schlüssel" wird die Liste aller aktuell synchronisierten geheimen Schlüssel am Rand der angezeigten Ressource angezeigt. Ein synchronisiertes Geheimnis stellt einen oder mehrere Geheimnisverweise dar, je nachdem, von welcher Ressource es verwendet wird. Jeder Vorgang, der auf ein synchronisiertes Geheimnis angewendet wird, wird auf alle Geheimnisverweise angewendet, die im synchronisierten Geheimnis enthalten sind.
Sie können synchronisierte geheime Schlüssel auch auf der Seite "Geheime Schlüssel" löschen. Wenn Sie einen synchronisierten geheimen Schlüssel löschen, löscht er nur den synchronisierten Geheimschlüssel aus dem Kubernetes-Cluster und löscht nicht den enthaltenen geheimen Verweis aus Azure Key Vault. Sie müssen den geheimen Zertifikatschlüssel manuell aus dem Schlüsseltresor löschen.
Warnung
Die direkte Bearbeitung von SecretProviderClass und SecretSync benutzerdefinierten Ressourcen in Ihrem Kubernetes-Cluster kann den Schlüsselfluss in Azure IoT Einsatz unterbrechen. Verwenden Sie für alle Vorgänge, die sich auf geheime Schlüssel beziehen, die Webbenutzeroberfläche für die Betriebserfahrung.
Stellen Sie vor dem Löschen eines synchronisierten Geheimnisses sicher, dass alle Verweise auf das Geheimnis aus Azure IoT Einsatz-Komponenten entfernt werden.