Migrer des certificats de compte Batch vers Azure Key Vault

Le 29 février 2024, la fonctionnalité relative aux certificats de compte Azure Batch sera mise hors service. Découvrez dans cet article comment migrer vos certificats vers des comptes Azure Batch à l’aide d’Azure Key Vault.

À propos de la fonctionnalité

Des certificats sont souvent nécessaires dans divers scénarios, par exemple le déchiffrement d’un secret, la sécurisation des canaux de communication ou l’accès à un autre service. Azure Batch propose deux façons de gérer les certificats pour les pools Batch. Vous pouvez ajouter des certificats à un compte Batch ou utiliser l’extension de machine virtuelle Azure Key Vault pour gérer les certificats sur des pools Batch. Seule la fonctionnalité de certificat d’un compte Azure Batch et la fonctionnalité qu’elle étend aux pools Batch via CertificateReference pour l’ajout d’un pool, la mise à jour corrective d’un pool, la mise à jour des propriétés ainsi que les références correspondantes des API d’obtention et de listage des pools sont mises hors service. En outre, pour les pools Linux, la variable d’environnement $AZ_BATCH_CERTIFICATES_DIR n’est plus définie et remplie.

Fin du support des fonctionnalités

Azure Key Vault est le mécanisme standard recommandé pour le stockage et l’accès sécurisé aux secrets et aux certificats dans Azure. Le 29 février 2024, nous mettrons donc hors service la fonctionnalité des certificats de compte Batch dans Azure Batch. La solution de remplacement consiste à utiliser l’extension de machine virtuelle Azure Key Vault et une identité managée affectée par l’utilisateur sur le pool pour accéder de manière sécurisée aux certificats et les installer dans vos pools Batch.

Une fois la fonctionnalité des certificats Azure Batch mise hors service le 29 février 2024, les certificats cesseront de fonctionner comme prévu dans Batch. Après cette date, vous ne pourrez plus ajouter de certificats à un compte Batch ou lier ces certificats à des pools Batch. Les pools qui continueront à utiliser cette fonctionnalité après cette date risquent de ne pas se comporter comme prévu, par exemple pour la mise à jour des références de certificat ou l’installation des références de certificat existantes.

Solution de remplacement : Utiliser l’extension de machine virtuelle Azure Key Vault avec une identité managée affectée par l’utilisateur du pool

Azure Key Vault est un service Azure complètement managé qui fournit un accès contrôlé au stockage et à la gestion des secrets, des certificats, des jetons et des clés. Key Vault assure la sécurité au niveau de la couche transport en garantissant que tout flux de données entre le coffre de clés et l’application cliente est chiffré. Azure Key Vault vous offre un moyen sécurisé de stocker les informations d’accès essentielles et de définir un contrôle d’accès précis. Vous pouvez gérer tous les secrets à partir d’un seul tableau de bord. Choisissez de stocker une clé dans des HSM (modules de sécurité matériels) basés sur une protection logicielle ou matérielle. Vous pouvez également définir Key Vault sur les certificats de renouvellement automatique.

Pour obtenir un guide complet sur l’activation de l’extension de machine virtuelle Azure Key Vault avec une identité managée affectée par l’utilisateur du pool, consultez Activer la rotation automatique des certificats dans un pool Batch.

FAQ

• Est-ce que les pools CloudServiceConfiguration prennent en charge l’extension de machine virtuelle Azure Key Vault et l’identité managée dans les pools ?

  Non. Les pools CloudServiceConfiguration seront mis hors service à la même date que les certificats de compte Azure Batch, le 29 février 2024. Nous vous recommandons de migrer vers VirtualMachineConfiguration des pools avant cette date où vous êtes en mesure d’utiliser ces solutions.

• Est-ce que les comptes Batch d’allocation de pools d’abonnements utilisateur prennent en charge Azure Key Vault ?

  Oui. Vous pouvez utiliser le même coffre de clés que celui spécifié avec votre compte Batch et vos pools. Toutefois, le coffre de clés utilisé pour les certificats de vos pools Batch peut être entièrement distinct.

• Les pools Linux et Windows Batch sont-ils pris en charge avec l’extension de machine virtuelle Key Vault ?

  Oui. Consultez la documentation pour Windows et Linux.

• Pouvez-vous mettre à jour des pools existants avec une extension de machine virtuelle Key Vault ?

  Non, ces propriétés ne peuvent pas être mises à jour sur le pool. Vous devez recréer des pools.

• Comment faire obtenir des références aux certificats sur les pools de lots Linux étant donné que $AZ_BATCH_CERTIFICATES_DIR sera supprimé ?

  L’extension de machine virtuelle Key Vault pour Linux vous permet de spécifier le certificateStoreLocationchemin d’accès absolu à l’emplacement où le certificat est stocké. L’extension de machine virtuelle Key Vault a pour étendue les certificats installés à l’emplacement spécifié avec uniquement les privilèges superutilisateur (racine). Vous devez vous assurer que vos tâches s’exécutent avec élévation de privilèges pour accéder à ces certificats par défaut, ou copier les certificats dans un fichier accessible directement et/ou ajuster les fichiers de certificat avec des modes de fichiers appropriés. Vous pouvez exécuter ces commandes dans le cadre d’une tâche de démarrage avec élévation de privilèges ou d’une tâche de préparation du travail.

• Comment faire installer .cer des fichiers qui ne contiennent pas de clés privées ?

  Key Vault ne considère pas que ces fichiers sont privilégiés, car ils ne contiennent pas d’informations de clé privée. Vous pouvez installer .cer des fichiers à l’aide de l’une des méthodes suivantes. Utilisez les secrets Key Vault avec les privilèges d’accès appropriés pour l’identité managée affectée par l’utilisateur associé et récupérez le fichier dans le .cer cadre de votre tâche de démarrage à installer. Vous pouvez également stocker le .cer fichier sous la forme d’un objet blob Stockage Azure et référencer en tant que fichier de ressources Batch dans votre tâche de démarrage à installer.

• Comment faire accéder aux certificats installés de l’extension Key Vault pour les identités de pool d’utilisateurs automatiques non administrateurs au niveau des tâches ?

  Les utilisateurs automatiques au niveau des tâches sont créés à la demande et ne peuvent pas être prédéfinis pour spécifier la accounts propriété dans l’extension de machine virtuelle Key Vault. Vous aurez besoin d’un processus personnalisé qui exporte le certificat requis dans un magasin ou des ACL couramment accessibles pour l’accès par les utilisateurs automatiques au niveau des tâches.

• Où puis-je trouver les bonnes pratiques relatives à l’utilisation d’Azure Key Vault ?

  Consultez les bonnes pratiques relatives à Azure Key Vault.

Étapes suivantes

Pour plus d’informations, consultez Contrôle d’accès aux certificats Key Vault. Pour plus d’informations sur les fonctionnalités Batch liées à cette migration, consultez Extensions de pool Azure Batch et Identité managée de pool Azure Batch.