Configurer le coffre de clés Key Vault pour la rotation des informations d’identification gérées dans Operator Nexus
Azure Operator Nexus utilise des secrets et des certificats pour gérer la sécurité des composants sur la plateforme. La plateforme Operator Nexus gère la rotation de ces secrets et certificats. Par défaut, Operator Nexus stocke les informations d’identification dans un coffre de clés Key Vault managé. Afin de conserver les informations d’identification ayant fait l’objet d’une rotation dans son propre coffre de clés Key Vault, l’utilisateur doit configurer le coffre de clés Key Vault pour l’instance d’Azure Operator Nexus. Une fois la création effectuée, l’utilisateur doit ajouter une attribution de rôle au coffre de clés Key Vault du client pour permettre à la plateforme Operator Nexus d’écrire les informations d’identification mises à jour, puis lier le coffre de clés Key Vault du client à la ressource de cluster Nexus.
Prérequis
- Installer la dernière version des extensions de l’interface CLI appropriées
- Obtenez l’ID d’abonnement de l’abonnement du client
Remarque
Un seul coffre de clés Key Vault peut être utilisé pour n’importe quel nombre de clusters.
Écriture des mises à jour d’informations d’identification dans un coffre de clés Key Vault de client sur un cluster Nexus
- Vérifiez que le fournisseur de ressources Microsoft.NetworkCloud est inscrit au sein de l’abonnement du client.
az provider register --namespace 'Microsoft.NetworkCloud' --subscription <Subscription ID>
- Attribuez le rôle de service Enregistreur dans le coffre de clés Key Vault pour Operator Nexus. Vérifiez que le contrôle d’accès en fonction du rôle (RBAC) Azure est sélectionné en tant que modèle d’autorisation pour le coffre de clés dans la vue Configuration de l’accès. Puis, dans la vue Contrôle d’accès (IAM), choisissez d’ajouter une attribution de rôle.
| Nom du rôle | ID de définition de rôle |
|---|---|
| Rôle de service Enregistreur dans le coffre de clés Key Vault pour Operator Nexus (préversion) | 44f0a1a8-6fea-4b35-980a-8ff50c487c97 |
| Environnement | Nom de l’application | ID d’application |
|---|---|---|
| Production | AFOI-NC-RP-PME-PROD | 05cf5e27-931d-47ad-826d-cb9028d8bd7a |
| Production | AFOI-NC-MGMT-PME-PROD | 3365d4ea-bb16-4bc9-86dd-f2c8cf6f1f56 |
Exemple :
az role assignment create --assignee 05cf5e27-931d-47ad-826d-cb9028d8bd7a --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>
az role assignment create --assignee 3365d4ea-bb16-4bc9-86dd-f2c8cf6f1f56 --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>
- L’utilisateur associe le coffre de clés Key Vault du client au cluster Operator Nexus. L’ID de ressource du coffre de clés doit être configuré dans le cluster et activé pour stocker les secrets du cluster.
Exemple :
# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"
# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive
Pour obtenir de l’aide supplémentaire :
az networkcloud cluster update --secret-archive ?? --help
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour