Condividi tramite

Gestire i segreti per la distribuzione di Operazioni di Azure IoT

Le Operazioni di Azure IoT usano Azure Key Vault come soluzione di insieme di credenziali gestite nel cloud e usano l'estensione dell'archivio segreti di Azure Key Vault per Kubernetes per sincronizzare i segreti dal cloud e archiviarli al perimetro come segreti Kubernetes. Le risorse edge come connettori e flussi di dati possono quindi usare questi segreti per l'autenticazione durante la connessione a sistemi esterni.

Prerequisiti

Un'istanza di Operazioni di Azure IoT distribuita con impostazioni sicure. Se si è distribuito Operazioni di Azure IoT con le impostazioni di test e si vogliono usare segreti, è necessario prima abilitare le impostazioni sicure.

Configurare le autorizzazioni di Azure Key Vault

Per poter utilizzare l'esperienza operativa per creare segreti nell'insieme di credenziali, l'utente necessita delle autorizzazioni di Key Vault Secrets Officer a livello di risorsa in Azure.

In un ambiente di test o sviluppo usare la procedura seguente per assegnare il ruolo Key Vault Secrets Officer all'utente a livello di gruppo di risorse in cui vengono distribuite l'istanza di Azure IoT Operations e l'istanza di Azure Key Vault:

  1. Per trovare il nome del gruppo di risorse, passare all'interfaccia utente Web dell'esperienza operativa , passare alla pagina Istanze e trovare l'istanza di Operazioni IoT di Azure. Il nome del gruppo di risorse viene visualizzato nel campo Gruppo di risorse.

  2. Passare al portale di Azure e quindi passare al gruppo di risorse in cui vengono distribuite l'istanza di Azure IoT Operations e l'istanza di Azure Key Vault.

    Suggerimento

    Usare la casella di ricerca nella parte superiore del portale di Azure per trovare rapidamente il gruppo di risorse digitando il nome.

  3. Selezionare Controllo di accesso (IAM) dal menu a sinistra. Seleziona + Aggiungi > assegnazione di ruolo.

  4. Nella scheda Ruolo selezionare Key Vault Secrets Officer nell'elenco dei ruoli e quindi selezionare Avanti.

  5. Nella scheda Membri, selezionare Utente, gruppo o entità servizio, selezionare Seleziona membri, selezionare l'utente a cui assegnare il ruolo Responsabile segreti di Key Vault e quindi selezionare Avanti.

  6. Selezionare Rivedi e assegna per completare l'assegnazione di ruolo.

In un ambiente di produzione seguire le procedure consigliate per proteggere Azure Key Vault usato con le operazioni IoT di Azure. Per altre informazioni, vedere Procedure consigliate per l'uso di Azure Key Vault.

Aggiungere e usare segreti

La gestione dei segreti per Operazioni di Azure IoT usa l'estensione dell'archivio segreti per sincronizzare i segreti da un insieme di credenziali delle chiavi di Azure e archiviarli nel bordo come segreti Kubernetes. Quando si sono abilitate le impostazioni di protezione durante la distribuzione, è stato selezionato un insieme di credenziali delle chiavi di Azure per la gestione dei segreti. Si trova in questo insieme di credenziali delle chiavi in cui vengono archiviati tutti i segreti da usare in Operazioni di Azure IoT.

Annotazioni

Le istanze di Operazioni IoT di Azure funzionano con un solo insieme di credenziali delle chiavi di Azure, più insiemi di credenziali delle chiavi per ogni istanza non sono supportati.

Al termine della procedura di configurazione della gestione dei segreti , è possibile iniziare ad aggiungere segreti ad Azure Key Vault e sincronizzarli con il cluster Kubernetes da usare in Dispositivi o endpoint del flusso di dati usando l'interfaccia utente Web dell'esperienza operativa .

I segreti vengono usati nei dispositivi e negli endpoint del flusso di dati per l'autenticazione. Questa sezione usa i dispositivi come esempio. Lo stesso processo può essere applicato agli endpoint del flusso di dati. È possibile creare direttamente il segreto in Azure Key Vault e sincronizzarlo automaticamente con il cluster oppure usare un riferimento segreto esistente dall'insieme di credenziali delle chiavi:

  1. Passare alla pagina Dispositivi nell'interfaccia utente Web Esperienza di Operazioni.

  2. Per aggiungere un nuovo riferimento segreto, selezionare Aggiungi riferimento durante la creazione di un nuovo dispositivo:

    Screenshot che mostra le opzioni Aggiungi da Azure Key Vault e Crea nuovo quando si seleziona un segreto nell'esperienza di gestione delle operazioni.

    • Creare un nuovo segreto: crea un riferimento segreto in Azure Key Vault e sincronizza automaticamente anche il segreto nel cluster usando l'estensione Secret Store. Usare questa opzione se in precedenza non è stato creato il segreto necessario per questo scenario nell'insieme di credenziali delle chiavi.

    • Aggiungi da Azure Key Vault: sincronizza un segreto esistente nell'insieme di credenziali delle chiavi fino al cluster se non è stato sincronizzato in precedenza. Se si seleziona questa opzione, viene visualizzato l'elenco dei riferimenti ai segreti nell'insieme di credenziali delle chiavi selezionato. Usare questa opzione se il segreto è stato creato in anticipo nell'insieme di credenziali delle chiavi. Solo la versione più recente del segreto viene sincronizzata con il cluster.

  3. Quando si aggiungono i riferimenti nome utente e password agli endpoint del flusso di dati o dei dispositivi, è necessario assegnare un nome al segreto sincronizzato. I riferimenti al segreto vengono salvati nel cluster con il nome specificato come una risorsa di sincronizzazione dei segreti. Nell'esempio riportato nello screenshot seguente i riferimenti a nome utente e password vengono salvati nel cluster come edp1secrets.

    Screenshot che mostra il campo nome segreto sincronizzato quando la password del nome utente è selezionata per la modalità di autenticazione nell'esperienza operativa.

Gestire i segreti sincronizzati

Questa sezione usa i dispositivi come esempio. Lo stesso processo può essere applicato agli endpoint del flusso di dati:

  1. Passare alla pagina Dispositivi nell'interfaccia utente Web Esperienza di Operazioni.

  2. Per visualizzare l'elenco dei segreti, selezionare Gestisci certificati e segreti e quindi Segreti:

    Screenshot che mostra l'elenco dei segreti sincronizzati nella pagina dei segreti dell'esperienza operativa.

È possibile usare la pagina Segreti per visualizzare i segreti sincronizzati nei dispositivi e negli endpoint del flusso di dati. La pagina Segreti mostra l'elenco di tutti i segreti sincronizzati correnti nel bordo della risorsa visualizzata. Un segreto sincronizzato rappresenta uno o più riferimenti segreti, a seconda della risorsa che ne fa uso. Qualsiasi operazione applicata a un segreto sincronizzato verrà applicata a tutti i riferimenti segreti in esso contenuti.

È possibile eliminare anche i segreti sincronizzati nella pagina Segreti . Quando si elimina il segreto sincronizzato, elimina solo il segreto sincronizzato dal cluster Kubernetes e non elimina il riferimento del segreto contenuto da Azure Key Vault. È necessario eliminare manualmente il secret del certificato dal Key Vault.

Avvertimento

La modifica diretta delle risorse personalizzate SecretProviderClass e SecretSync nel cluster Kubernetes potrebbe interrompere il flusso dei segreti in Operazioni di Azure IoT. Per qualsiasi operazione correlata ai segreti, usare l'interfaccia utente Web dell'esperienza operativa.

Prima di eliminare un segreto sincronizzato, assicurarsi che tutti i riferimenti al segreto da componenti di Operazioni di Azure IoT vengano rimossi.

  • Last updated on