Bagikan melalui

Mengimpor sertifikat dari Azure Key Vault ke Azure Container Apps (pratinjau)

  • Artikel

Anda dapat menyiapkan Azure Key Vault untuk mengelola sertifikat aplikasi kontainer Anda untuk menangani pembaruan, perpanjangan, dan pemantauan. Tanpa Key Vault, Anda dibiarkan mengelola sertifikat secara manual, yang berarti Anda tidak dapat mengelola sertifikat di lokasi pusat dan tidak dapat memanfaatkan otomatisasi atau pemberitahuan siklus hidup.

Prasyarat

  • Azure Key Vault: Membuat sumber daya Key Vault.

  • Azure CLI: Anda memerlukan Azure CLI yang diperbarui dengan versi ekstensi Azure Container Apps atau yang 0.3.49 lebih tinggi. az extension add Gunakan perintah untuk menginstal versi terbaru.

    az extension add --name containerapp --upgrade --allow-preview`

  • Identitas terkelola: Aktifkan identitas terkelola di lingkungan Container Apps Anda.

Konfigurasi rahasia

Instans Azure Key Vault diperlukan untuk menyimpan sertifikat Anda. Buat pembaruan berikut untuk instans Key Vault Anda:

  1. Buka portal Microsoft Azure.

  2. Buka lingkungan Azure Container Apps Anda.

  3. Dari Pengaturan, pilih Kontrol akses (IAM) .

  4. Dari tab Peran , dan atur diri Anda sebagai Administrator Key Vault.

  5. Buka detail sertifikat Anda dan salin nilai untuk Pengidentifikasi Rahasia dan tempelkan ke editor teks untuk digunakan dalam langkah mendatang.

    Catatan

    Untuk mengambil versi sertifikat tertentu, sertakan akhiran versi dengan pengidentifikasi rahasia. Untuk mendapatkan versi terbaru, hapus akhiran versi dari pengidentifikasi.

Mengaktifkan dan mengonfigurasi Sertifikat Key Vault

  1. Buka portal Azure dan buka Key Vault Anda.

  2. Di bagian Objek , pilih Sertifikat.

  3. Pilih sertifikat yang ingin Anda gunakan.

  4. Di bagian Kontrol akses (IAM), pilih Tambahkan penetapan peran.

  5. Tambahkan peran: Petugas Sertifikat Key Vault dan Petugas Rahasia Key Vault.

  6. Buka detail sertifikat Anda dan salin nilai untuk Pengidentifikasi Rahasia.

  7. Tempelkan pengidentifikasi ke editor teks untuk digunakan dalam langkah mendatang.

Menetapkan peran untuk identitas terkelola tingkat lingkungan

  1. Buka portal Azure dan temukan instans lingkungan Azure Container Apps tempat Anda ingin mengimpor sertifikat.

  2. Dari Pengaturan, pilih Identitas.

  3. Pada tab Sistem yang ditetapkan, temukan sakelar Status dan pilih Aktif.

  4. Pilih Simpan, dan saat jendela Aktifkan identitas terkelola yang ditetapkan sistem muncul, pilih Ya.

  5. Di bawah label Izin , pilih Penetapan peran Azure untuk membuka jendela penetapan peran.

  6. Pilih Tambahkan penetapan peran dan masukkan nilai berikut:

    Properti Nilai
    Cakupan Pilih Key Vault.
    Langganan Pilih langganan Azure Anda.
    Sumber daya Pilih vault Anda.
    Peran Pilih Pengguna Rahasia Key Vault*.

  7. Pilih Simpan.

Untuk detail selengkapnya tentang kebijakan akses RBAC vs. warisan, lihat Kontrol akses berbasis peran Azure (Azure RBAC) vs. kebijakan akses.

Mengimpor sertifikat

Setelah mengotorisasi aplikasi kontainer untuk membaca vault, Anda dapat menggunakan az containerapp env certificate upload perintah untuk mengimpor vault ke lingkungan Container Apps Anda.

Sebelum Anda menjalankan perintah berikut, ganti token tempat penampung yang dikelilingi oleh <> tanda kurung dengan nilai Anda sendiri.

az containerapp env certificate upload \
  --resource-group <RESOURCE_GROUP> \
  --name <CONTAINER_APP_NAME> \
  --akv-url <KEY_VAULT_URL> \
  --certificate-identity <CERTIFICATE_IDENTITY>

Untuk informasi selengkapnya mengenai parameter perintah, lihat tabel berikut ini.

Parameter Deskripsi
--resource-group Nama grup sumber daya Anda.
--name Nama aplikasi kontainer Anda.
--akv-url URL untuk pengidentifikasi rahasia Anda. URL ini adalah nilai yang Anda sisihkan di langkah sebelumnya.
--certificate-identity ID untuk identitas terkelola Anda. Nilai ini dapat berupa system, atau ID untuk identitas terkelola yang ditetapkan pengguna Anda.

Pemecahan Masalah

Jika Anda menemukan pesan kesalahan saat mengimpor sertifikat, verifikasi tindakan Anda menggunakan langkah-langkah berikut:

  • Pastikan bahwa izin dikonfigurasi dengan benar untuk sertifikat dan identitas terkelola tingkat lingkungan Anda.

    • Anda harus menetapkan peran Petugas Rahasia Key Vault dan Petugas Sertifikat Key Vault.

  • Pastikan Anda menggunakan URL yang benar untuk mengakses sertifikat Anda. Anda harus menggunakan URL Pengidentifikasi Rahasia.

Mengelola rahasia