Aplicar a extensão de VM do Cofre da Chave aos Serviços de Nuvem do Azure (suporte estendido)

  • Artigo

Este artigo fornece informações básicas sobre a extensão de VM do Azure Key Vault para Windows e mostra como habilitá-la nos Serviços de Nuvem do Azure.

O que é a extensão Key Vault VM?

A extensão de VM do Cofre da Chave fornece atualização automática de certificados armazenados em um cofre de chaves do Azure. Especificamente, a extensão monitora uma lista de certificados observados armazenados em cofres de chaves. Quando a extensão deteta uma alteração, ela recupera e instala os certificados correspondentes. Para obter mais informações, consulte Key Vault VM extension for Windows.

O que há de novo na extensão Key Vault VM?

A extensão de VM do Cofre da Chave agora tem suporte na plataforma Serviços de Nuvem do Azure (suporte estendido) para habilitar o gerenciamento de certificados de ponta a ponta. A extensão agora pode extrair certificados de um cofre de chaves configurado em um intervalo de sondagem predefinido e instalá-los para uso do serviço.

Como posso usar a extensão Key Vault VM?

O procedimento a seguir mostrará como instalar a extensão de VM do Cofre da Chave nos Serviços de Nuvem do Azure criando primeiro um certificado de bootstrap em seu cofre para obter um token do Microsoft Entra ID. Esse token ajudará na autenticação da extensão com o cofre. Depois que o processo de autenticação for configurado e a extensão for instalada, todos os certificados mais recentes serão derrubados automaticamente em intervalos regulares de sondagem.

Nota

A extensão VM do Cofre da Chave baixa todos os certificados no armazenamento de certificados do Windows para o local fornecido pela certificateStoreLocation propriedade nas configurações da extensão da VM. Atualmente, a extensão de VM do Cofre da Chave concede acesso à chave privada do certificado apenas à conta de administrador do sistema local.

Pré-requisitos

Para usar a extensão de VM do Azure Key Vault, você precisa ter um locatário do Microsoft Entra. Para obter mais informações, consulte Guia de início rápido: configurar um locatário.

Habilitar a extensão de VM do Azure Key Vault

  1. Gere um certificado no seu cofre e transfira o ficheiro .cer para esse certificado .

  2. No portal do Azure, vá para Registros de aplicativos.

    Screenshot of resources available in the Azure portal, including app registrations.

  3. Na página Registos de aplicações, selecione Novo registo.

    Screenshot that shows the page for app registrations in the Azure portal.

  4. Na página seguinte, preencha o formulário e conclua a criação do aplicativo.

  5. Carregue o arquivo .cer do certificado no portal do aplicativo Microsoft Entra.

    Opcionalmente, você pode usar o recurso de notificação da Grade de Eventos do Azure para o Cofre da Chave para carregar o certificado.

  6. Conceda permissões secretas ao aplicativo Microsoft Entra no Cofre da Chave:

    • Se estiver a utilizar uma pré-visualização RBAC (controlo de acesso baseado em função), procure o nome da aplicação Microsoft Entra que criou e atribua-a à função Key Vault Secrets User (pré-visualização).
    • Se você estiver usando políticas de acesso ao cofre, atribua permissões Secret-Get ao aplicativo Microsoft Entra que você criou. Para obter mais informações, consulte Atribuir políticas de acesso.

  7. Instale a extensão de VM do Cofre da Chave usando o trecho de modelo do Azure Resource Manager para o cloudService recurso:

    {
    "osProfile":
    {
        "secrets":
        [
            {
                "sourceVault":
                {
                    "id": "[parameters('sourceVaultValue')]"
                },
                "vaultCertificates":
                [
                    {
                        "certificateUrl": "[parameters('bootstrpCertificateUrlValue')]"
                    }
                ]
            }
        ]
    },
    "extensionProfile":
    {
        "extensions":
        [
            {
                "name": "KVVMExtensionForPaaS",
                "properties":
                {
                    "type": "KeyVaultForPaaS",
                    "autoUpgradeMinorVersion": true,
                    "typeHandlerVersion": "1.0",
                    "publisher": "Microsoft.Azure.KeyVault",
                    "settings":
                    {
                        "secretsManagementSettings":
                        {
                            "pollingIntervalInS": "3600",
                            "certificateStoreName": "My",
                            "certificateStoreLocation": "LocalMachine",
                            "linkOnRenewal": false,
                            "requireInitialSync": false,
                            "observedCertificates": "[parameters('keyVaultObservedCertificates']"
                        },
                        "authenticationSettings":
                        {
                            "clientId": "Your AAD app ID",
                            "clientCertificateSubjectName": "Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
                        }
                    }
                }
            }
        ]
    }
}

    Talvez seja necessário especificar o armazenamento de certificados para o certificado de bootstrap em ServiceDefinition.csdef:

        <Certificates>
             <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
    </Certificates>

Próximos passos

Melhore ainda mais sua implantação habilitando o monitoramento nos Serviços de Nuvem do Azure (suporte estendido).