Usar certificados para acessar com segurança o Azure Key Vault com o Lote
Artigo
Aviso
Os certificados da conta do Lote detalhados neste artigo foram preteridos. Para acessar com segurança o Azure Key Vault, basta usar as Identidades gerenciadas do pool com as permissões de acesso apropriadas configuradas para a identidade gerenciada atribuída pelo usuário para acessar seu Key Vault. Se você precisar provisionar certificados em nós do Lote, utilize a extensão de VM do Azure Key Vault disponível em conjunto com a Identidade Gerenciada do pool para instalar e gerenciar certificados no pool do Lote. Para saber mais sobre como implantar certificados do Azure Key Vault com a Identidade Gerenciada em pools do Lote, consulte Habilitar a rotação automática de certificados em um pool do Lote.
Neste artigo, você aprenderá a configurar os nós do Lote com certificados para acessar com segurança as credenciais armazenadas no Azure Key Vault.
Para autenticar o Azure Key Vault em um nó de Lote, você precisará de:
O acesso a Key Vault é concedido a um usuário ou a uma entidade de serviço. Para acessar o Key Vault de modo programático, use uma entidade de serviço com o certificado que você criou na etapa anterior. A entidade de serviço deve estar no mesmo locatário do Microsoft Entra que o Key Vault.
$now = [System.DateTime]::Parse("2020-02-10")
# Set this to the expiration date of the certificate
$expirationDate = [System.DateTime]::Parse("2021-02-10")
# Point the script at the cer file you created $cerCertificateFilePath = 'c:\temp\batchcertificate.cer'
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2
$cer.Import($cerCertificateFilePath)
# Load the certificate into memory
$credValue = [System.Convert]::ToBase64String($cer.GetRawCertData())
# Create a new AAD application that uses this certificate
$newADApplication = New-AzureRmADApplication -DisplayName "Batch Key Vault Access" -HomePage "https://batch.mydomain.com" -IdentifierUris "https://batch.mydomain.com" -certValue $credValue -StartDate $now -EndDate $expirationDate
# Create new AAD service principal that uses this application
$newAzureAdPrincipal = New-AzureRmADServicePrincipal -ApplicationId $newADApplication.ApplicationId
As URLs do aplicativo não são importantes, pois elas estão sendo usadas somente para acesso ao Key Vault.
Conceder direitos para Key Vault
A entidade de serviço criada na etapa anterior precisa de permissão para recuperar os segredos de Key Vault. A permissão pode ser concedida por meio do portal do Azure ou com o comando do PowerShell abaixo.
Crie um pool do Lote, vá para a guia certificado no pool e atribua o certificado que você criou. O certificado agora está em todos os nós do Lote.
Em seguida, atribua o certificado à conta do Lote. A atribuição do certificado à conta nos permite que o Lote o atribua aos pools e nós. A maneira mais fácil de fazer isso é acessar sua conta do Lote no portal, navegar até Certificados e selecionar Adicionar. Carregue o arquivo .pfx gerado anteriormente e forneça a senha. Depois de concluído, o certificado é adicionado à lista e você pode verificar a impressão digital.
Agora, ao criar um pool do Lote, você poderá navegar até Certificados dentro do pool e atribuir a esse pool o certificado que você criou. Ao fazer isso, certifique-se de selecionar LocalMachine para o local de armazenamento. O certificado é carregado em todos os nós do Lote no pool.
Instalar o Azure PowerShell
Se você planeja acessar Key Vault usando scripts do PowerShell em seus nós, precisará da biblioteca Azure PowerShell instalada. Se os seus nós tiverem o WMF (Windows Management Framework) 5 instalado, você poderá usar o comando install-module para baixá-lo. Se você está usando nós que não têm o WMF 5, a maneira mais fácil de instalá-lo é agrupar o arquivo .msi do Azure PowerShell aos seus arquivos do Lote e chamar o instalador como a primeira parte do script de inicialização do Lote. Consulte este exemplo para obter detalhes:
Agora, você está pronto para acessar o Key Vault em scripts em execução nos seus nós do Lote. Para acessar o Key Vault de um script, tudo o que você precisa é que seu script se autentique na ID do Microsoft Entra usando o certificado. Para fazer isso no PowerShell, use os comandos de exemplo a seguir. Especifique o GUID apropriado para impressão digital, ID do aplicativo (a ID da entidade de serviço) e a ID do locatário (o locatário onde a entidade de serviço existe).
Demonstrar os recursos do Microsoft Entra ID para modernizar as soluções de identidade, implementar soluções híbridas e implementar a governança de identidade.