Migrar certificados de contas do Batch para o Azure Key Vault
Em 29 de fevereiro de 2024, o recurso de certificados de conta do Lote do Azure será desativado. Saiba como migrar seus certificados em contas do Azure Batch usando o Azure Key Vault neste artigo.
Acerca da funcionalidade
Os certificados geralmente são necessários em vários cenários, como descriptografar um segredo, proteger canais de comunicação ou acessar outro serviço. Atualmente, o Lote do Azure oferece duas maneiras de gerenciar certificados em pools de lotes. Você pode adicionar certificados a uma conta de lote ou pode usar a extensão de VM do Cofre de Chaves do Azure para gerenciar certificados em pools de lotes. Somente a funcionalidade de certificado em uma conta do Azure Batch e a funcionalidade que ela estende aos pools de lotes por meio CertificateReference
de Adicionar Pool, Pool de Patches, Propriedades de Atualização e as referências correspondentes nas APIs Get e List Pool estão sendo desativadas. Além disso, para pools Linux, a variável $AZ_BATCH_CERTIFICATES_DIR
de ambiente não será mais definida e preenchida.
Fim do suporte ao recurso
O Azure Key Vault é o mecanismo padrão e recomendado para armazenar e acessar segredos e certificados no Azure com segurança. Portanto, em 29 de fevereiro de 2024, desativaremos o recurso de certificados de conta em lote no Lote do Azure. A alternativa é usar a Extensão de VM do Azure Key Vault e uma identidade gerenciada atribuída pelo usuário no pool para acessar e instalar certificados com segurança em seus pools de lotes.
Depois que o recurso de certificados no Lote do Azure for desativado em 29 de fevereiro de 2024, um certificado no Lote não funcionará conforme o esperado. Após essa data, você não poderá mais adicionar certificados a uma conta de Lote ou vincular esses certificados a pools de Lotes. Os pools que continuam a usar esse recurso após essa data podem não se comportar como esperado, como atualizar referências de certificado ou a capacidade de instalar referências de certificado existentes.
Alternativa: Usar a extensão de VM do Azure Key Vault com identidade gerenciada atribuída pelo usuário ao pool
O Azure Key Vault é um serviço do Azure totalmente gerenciado que fornece acesso controlado para armazenar e gerenciar segredos, certificados, tokens e chaves. O Cofre de Chaves fornece segurança na camada de transporte, garantindo que qualquer fluxo de dados do cofre de chaves para o aplicativo cliente seja criptografado. O Azure Key Vault oferece uma maneira segura de armazenar informações de acesso essenciais e definir um controle de acesso refinado. Você pode gerenciar todos os segredos a partir de um painel. Escolha armazenar uma chave em HSMs (módulos de segurança de hardware) protegidos por software ou por hardware. Você também pode definir o Cofre da Chave para renovar certificados automaticamente.
Para obter um guia completo sobre como habilitar a Extensão de VM do Cofre da Chave do Azure com a Identidade Gerenciada Atribuída pelo Usuário do Pool, consulte Habilitar a rotação automática de certificados em um pool de lotes.
FAQs
Os
CloudServiceConfiguration
pools dão suporte à extensão de VM do Azure Key Vault e à identidade gerenciada em pools?N.º
CloudServiceConfiguration
Os pools serão desativados na mesma data da desativação do certificado de conta do Azure Batch em 29 de fevereiro de 2024. Recomendamos que você migre paraVirtualMachineConfiguration
pools antes dessa data em que poderá usar essas soluções.As contas em lote de alocação do pool de assinaturas de usuários dão suporte ao Azure Key Vault?
Sim. Você pode usar o mesmo Cofre de Chaves especificado com sua conta de Lote como para uso com seus pools, mas seu Cofre de Chaves usado para certificados para seus pools de Lotes pode ser totalmente separado.
Os pools de lotes Linux e Windows são suportados com a extensão Key Vault VM?
É possível atualizar pools existentes com uma extensão de VM do Cofre de Chaves?
Não, essas propriedades não podem ser atualizadas no pool. Você precisa recriar pools.
Como faço para obter referências a certificados em Linux Batch Pools já que
$AZ_BATCH_CERTIFICATES_DIR
serão removidos?A extensão Key Vault VM para Linux permite especificar o
certificateStoreLocation
, que é um caminho absoluto para onde o certificado está armazenado. A extensão de VM do Cofre da Chave terá como escopo os certificados instalados no local especificado com apenas privilégios de superusuário (raiz). Você precisa certificar-se de que suas tarefas são executadas com privilégios elevados para acessar esses certificados por padrão, ou copiar os certificados para um acessível diretamente e/ou ajustar os arquivos de certificado com modos de arquivo adequados. Você pode executar esses comandos como parte de uma tarefa de início elevada ou tarefa de preparação de trabalho.Como instalo
.cer
ficheiros que não contêm chaves privadas?O Key Vault não considera esses arquivos privilegiados, pois eles não contêm informações de chave privada. Você pode instalar
.cer
arquivos usando um dos seguintes métodos. Use segredos do Cofre da Chave com privilégios de acesso apropriados para a Identidade Gerenciada atribuída pelo usuário associada e busque o.cer
arquivo como parte da tarefa inicial a ser instalada. Como alternativa, armazene o.cer
arquivo como um Blob de Armazenamento do Azure e faça referência como um arquivo de recurso em lote em sua tarefa inicial a ser instalada.Como faço para acessar certificados instalados da extensão Key Vault para identidades de pool de usuários automáticos não administradores no nível de tarefa?
Os usuários automáticos de nível de tarefa são criados sob demanda e não podem ser predefinidos para especificação na
accounts
propriedade na extensão de VM do Cofre de Chaves. Você precisará de um processo personalizado que exporte o certificado necessário para um armazenamento comumente acessível ou ACLs apropriadamente para acesso por usuários automáticos no nível da tarefa.Onde posso encontrar as práticas recomendadas para usar o Cofre da Chave do Azure?
Consulte as práticas recomendadas do Azure Key Vault.
Próximos passos
Para obter mais informações, consulte Controle de acesso ao certificado do Cofre da Chave. Para obter mais informações sobre a funcionalidade de lote relacionada a essa migração, consulte Extensões do pool de lotes do Azure e Identidade gerenciada do pool de lotes do Azure.