Einrichten eines Schlüsseltresors für die Drehung verwalteter Anmeldeinformationen in Operator Nexus
Azure Operator Nexus verwendet Geheimnisse und Zertifikate, um die Komponentensicherheit auf der gesamten Plattform zu verwalten. Die Operator Nexus-Plattform übernimmt die Drehung dieser Geheimnisse und Zertifikate. Standardmäßig speichert Operator Nexus die Anmeldeinformationen in einem verwalteten Schlüsseltresor. Um die gedrehten Anmeldeinformationen in ihrem eigenen Schlüsseltresor beizubehalten, muss der Benutzer den Schlüsseltresor für die Azure Operator Nexus-Instanz einrichten. Nach der Erstellung muss der Benutzer dem Schlüsseltresor des Kunden eine Rollenzuweisung hinzufügen, damit die Operator Nexus Platform aktualisierte Anmeldeinformationen schreiben kann und zusätzlich den Schlüsseltresor des Kunden mit der Nexus Cluster-Ressource verknüpft.
Voraussetzungen
- Installieren Sie die aktuelle Version der passenden Azure CLI-Erweiterung
- Abrufen der Abonnement-ID für das Abonnement des Kunden
Hinweis
Ein einzelner Schlüsseltresor kann für eine beliebige Anzahl von Clustern verwendet werden.
Schreiben von Updates für Anmeldeinformationen an einen Schlüsseltresor des Kunden im Nexus-Cluster
- Stellen Sie sicher, dass der Ressourcenanbieter Microsoft.NetworkCloud beim Kundenabonnement registriert ist.
az provider register --namespace 'Microsoft.NetworkCloud' --subscription <Subscription ID>
- Weisen Sie die Dienstrolle Operator Nexus Key Vault Writer zu. Stellen Sie sicher, dass die rollenbasierte Zugriffssteuerung in Azure als Berechtigungsmodell für den Schlüsseltresor in der Ansicht Zugriffskonfiguration ausgewählt ist. Wählen Sie in der Ansicht Zugriffssteuerung (IAM) die Option „Rollenzuweisung hinzufügen“ aus.
| Rollenname | Rollendefinitions-ID |
|---|---|
| Dienstrolle Operator Nexus Key Vault Writer (Preview) | 44f0a1a8-6fea-4b35-980a-8ff50c487c97 |
| Environment | App-Name | App-ID |
|---|---|---|
| Produktion | AFOI-NC-RP-PME-PROD | 05cf5e27-931d-47ad-826d-cb9028d8bd7a |
| Produktion | AFOI-NC-MGMT-PME-PROD | 3365d4ea-bb16-4bc9-86dd-f2c8cf6f1f56 |
Beispiel:
az role assignment create --assignee 05cf5e27-931d-47ad-826d-cb9028d8bd7a --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>
az role assignment create --assignee 3365d4ea-bb16-4bc9-86dd-f2c8cf6f1f56 --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>
- Der Benutzer ordnet den Schlüsseltresor des Kunden dem Operator Nexus-Cluster zu. Die Ressourcen-ID des Schlüsseltresors muss im Cluster konfiguriert und aktiviert sein, um die Geheimnisse des Clusters zu speichern.
Beispiel:
# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"
# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive
Weitere Hilfe:
az networkcloud cluster update --secret-archive ?? --help
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für