다음을 통해 공유

Azure IoT 작업 Preview 배포에 대한 비밀 관리

  • 아티클

Important

Azure IoT 작업 미리 보기 - Azure Arc에서 지원되는 Azure IoT 작업은 현재 preview로 제공됩니다. 프로덕션 환경에서는 이 미리 보기 소프트웨어를 사용하면 안 됩니다.

일반적으로 릴리스되는 릴리스가 제공되면 새로운 Azure IoT 작업 설치를 배포해야 합니다. 미리 보기 설치는 업그레이드할 수 없습니다.

베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

Azure IoT Operations는 Azure Key Vault를 클라우드의 관리형 자격 증명 모음 솔루션으로 사용하고, Kubernetes용 Azure Key Vault 비밀 저장소 확장을 사용하여 클라우드에서 비밀을 동기화하고 에지에 Kubernetes 비밀로 저장합니다.

필수 조건

  • 보안 설정을 사용하여 배포된 Azure IoT Operations 인스턴스입니다. 테스트 설정을 사용하여 Azure IoT Operations를 배포했고 이제 비밀을 사용하려는 경우 먼저 보안 설정을 사용하도록 설정해야 합니다.

  • 키 자격 증명 모음에서 비밀을 만들려면 리소스 수준에서 비밀 관리자 권한이 필요합니다. 사용자에게 역할을 할당하는 방법에 대한 자세한 내용은 Azure 역할을 할당하는 단계를 참조하세요.

비밀 추가 및 사용

Azure IoT 작업에 대한 비밀 관리는 비밀 저장소 확장을 사용하여 Azure Key Vault의 비밀을 동기화하고 에지에 Kubernetes 비밀로 저장합니다. 배포하는 동안 보안 설정을 사용하도록 설정한 경우 비밀 관리를 위해 Azure Key Vault를 선택했습니다. Azure IoT 작업 내에서 사용할 모든 비밀이 저장되는 이 Key Vault에 있습니다.

참고 항목

Azure IoT Operations 인스턴스는 하나의 Azure Key Vault에서만 작동하며 인스턴스당 여러 키 자격 증명 모음은 지원되지 않습니다.

설정 비밀 관리 단계가 완료되면 Azure Key Vault에 비밀을 추가하기 시작하고 작업 환경 웹 UI를 사용하여 자산 엔드포인트 또는 데이터 흐름 엔드포인트에서 사용할 에지와 동기화할 수 있습니다.

비밀은 인증을 위해 자산 엔드포인트 및 데이터 흐름 엔드포인트에서 사용됩니다. 이 섹션에서는 자산 엔드포인트를 예로 사용합니다. 데이터 흐름 엔드포인트에도 동일하게 적용될 수 있습니다. Azure Key Vault에서 비밀을 직접 만들고 자동으로 에지로 동기화하거나 키 자격 증명 모음의 기존 비밀 참조를 사용하는 옵션이 있습니다.

작업 환경에서 비밀을 선택할 때 Azure Key Vault에서 추가 및 새 만들기 옵션을 보여 주는 스크린샷.

  • 새 비밀 만들기: Azure Key Vault에서 비밀 참조를 만들고 비밀 저장소 확장을 사용하여 비밀을 에지로 자동으로 동기화합니다. 키 자격 증명 모음에서 이 시나리오에 필요한 비밀을 미리 만들지 않은 경우 이 옵션을 사용합니다.

  • Azure Key Vault에서 추가: 이전에 동기화되지 않은 경우 키 자격 증명 모음의 기존 비밀을 에지로 동기화합니다. 이 옵션을 선택하면 선택한 키 자격 증명 모음의 비밀 참조 목록이 표시됩니다. 키 자격 증명 모음에서 비밀을 미리 만든 경우 이 옵션을 사용합니다.

자산 엔드포인트 또는 데이터 흐름 엔드포인트에 사용자 이름 및 암호 참조를 추가하는 경우 동기화된 비밀에 이름을 지정해야 합니다. 비밀 참조는 이 지정된 이름을 하나의 리소스로 사용하여 에지에 저장됩니다. 아래 스크린샷의 예제에서 사용자 이름 및 암호 참조는 에지에 edp1secrets로 저장됩니다.

작업 환경에서 인증 모드로 사용자 이름 암호를 선택할 때 동기화된 비밀 이름 필드를 보여 주는 스크린샷.

동기화된 비밀 관리

자산 엔드포인트 및 데이터 흐름 엔드포인트에 대한 비밀 관리를 사용하여 동기화된 비밀을 관리할 수 있습니다. 관리 비밀은 현재 동기화된 모든 비밀 목록을 보고 있는 리소스의 에지에서 보여 집니다. 동기화된 비밀은 사용하는 리소스에 따라 하나 이상의 비밀 참조를 나타냅니다. 동기화된 비밀에 적용된 모든 작업은 동기화된 비밀에 포함된 모든 비밀 참조에 적용됩니다.

암호 관리에서 동기화된 비밀을 삭제할 수도 있습니다. 동기화된 비밀을 삭제하면 에지에서 동기화된 비밀만 삭제되고 키 자격 증명 모음에서 포함된 비밀 참조는 삭제되지 않습니다.

참고 항목

동기화된 비밀을 삭제하기 전에 Azure IoT Operations 구성 요소의 비밀에 대한 모든 참조가 제거되었는지 확인합니다.