Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Operator Nexus utilise des secrets et des certificats pour gérer la sécurité des composants sur la plateforme. La plateforme Operator Nexus gère la rotation de ces secrets et certificats. Par défaut, Operator Nexus stocke les informations d’identification dans un coffre de clés Key Vault managé. Pour conserver les informations d’identification pivotées dans leur propre instance de Key Vault, l’utilisateur doit configurer sa propre instance de Key Vault pour recevoir les informations d’identification pivotées. Cette configuration nécessite que l’utilisateur configure Key Vault pour l’instance Azure Operator Nexus. Une fois la création effectuée, l’utilisateur doit ajouter une attribution de rôle au coffre de clés Key Vault du client pour permettre à la plateforme Operator Nexus d’écrire les informations d’identification mises à jour, puis lier le coffre de clés Key Vault du client à la ressource de cluster Nexus.
Prérequis
- Installer la dernière version des extensions de l’interface CLI appropriées
- Obtenez l’ID d’abonnement de l’abonnement du client
Remarque
Un seul coffre de clés Key Vault peut être utilisé pour n’importe quel nombre de clusters.
Configurer Key Vault à l’aide d’une identité managée pour le cluster
Remarque
La fonctionnalité d’identité managée de Key Vault et l’identité managée de cluster existe avec l’API 2024-10-01-preview et sera disponible avec l’API en disponibilité générale 2025-02-01.
Configurer Key Vault à l’aide d’une identité managée pour le gestionnaire de clusters
Remarque
Cette méthode est déconseillée avec le déploiement de l’API en disponibilité générale 2025-02-01. Une période de transition est en place pour prendre en charge la migration, mais les utilisateurs existants doivent envisager de migrer vers une utilisation de l’identité managée de cluster. Une fois le cluster mis à jour pour utiliser les paramètres d’archivage des secrets et l’identité managée de cluster, l’identité managée du Manager de cluster est ignorée dans la rotation des informations d’identification.
À compter de la version d’API 2024-07-01, les identités managées dans le Manager de cluster sont utilisées pour un accès en écriture pour fournir des informations d’identification pivotées à un coffre de clés. L’identité du gestionnaire de clusters peut être affectée par le système ou affectée par l’utilisateur et peut être managée directement via des API ou l’interface CLI.
Pour plus d’informations sur l’attribution d’identités managées au Manager de cluster, consultez Identité du Manager de cluster
Configurer l’archive des secrets du cluster Nexus
Inscrivez l’instance Key Vault cliente en tant qu’archive des secrets pour le cluster Nexus. L’ID de ressource du coffre de clés doit être configuré dans le cluster et activé pour stocker les secrets du cluster.
Exemple :
# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"
# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive
Pour obtenir de l’aide supplémentaire :
az networkcloud cluster update --secret-archive ?? --help
Obtenir l’ID principal de l’identité managée du gestionnaire de clusters
Une fois l’identité managée configurée, utilisez l’interface CLI pour afficher l’identité et l’ID du principal associé au sein du gestionnaire de clusters.
Exemple :
az networkcloud clustermanager show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Manager Resource Group Name>/providers/Microsoft.NetworkCloud/clusterManagers/<Cluster Manager Name>
Exemple d’identité affectée par le système :
"identity": {
"principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
"tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
"type": "SystemAssigned"
},
Exemple d’identité affectée par l’utilisateur :
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
"clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
"principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
}
}
},
Reportez-vous à Configurer Key Vault à l’aide d’une identité managée pour le cluster pour attribuer le rôle approprié à l’ID principal de l’identité managée.