Миграция сертификатов учетной записи Batch в Azure Key Vault

29 февраля 2024 г. функция сертификатов учетной записи пакетной службы Azure будет прекращена. Узнайте, как перенести сертификаты в учетных записях пакетной службы Azure с помощью Azure Key Vault в этой статье.

Сведения о функции

Сертификаты часто требуются в различных сценариях, таких как расшифровка секрета, защита каналов связи или доступ к другой службе. В настоящее время пакетная служба Azure предлагает два способа управления сертификатами в пулах пакетной службы. Вы можете добавить сертификаты в учетную запись пакетной службы или использовать расширение виртуальной машины Azure Key Vault для управления сертификатами в пулах пакетной службы. Удаляются только функции сертификата в учетной записи Batch Azure и функции, которые она распространяет на пулы Batch через CertificateReference для добавления пула, обновления пула, обновления свойств и соответствующие ссылки на API получения и списка пулов. Кроме того, для пулов Linux переменная $AZ_BATCH_CERTIFICATES_DIR среды больше не будет определена и заполнена.

Окончание поддержки компонентов

Azure Key Vault — это стандартный рекомендуемый механизм для хранения и доступа к секретам и сертификатам в Azure безопасно. Поэтому 29 февраля 2024 г. мы удалим функцию сертификатов учетной записи Batch в Azure Batch. Альтернативой является использование расширения виртуальной машины Azure Key Vault и управляемого удостоверения, назначаемого пользователем, для безопасного доступа и установки сертификатов в пулах Batch.

После прекращения использования функции сертификатов в Azure Batch 29 февраля 2024 г. сертификат в Azure Batch не будет работать как ожидалось. После этой даты вы больше не сможете добавлять сертификаты в учетную запись пакетной службы или связывать эти сертификаты с пулами пакетной службы. Пулы, которые продолжают использовать эту функцию после этой даты, могут не демонстрировать ожидаемое поведение, например, обновление реферирований сертификатов или возможность установки существующих реферирований сертификатов.

Альтернатива: Используйте расширение виртуальной машины Azure Key Vault вместе с управляемым удостоверением, назначенным пользователем пула.

Azure Key Vault — это полностью управляемая служба Azure, которая обеспечивает управляемый доступ к хранилищу секретов, сертификатов, маркеров и ключей. Key Vault обеспечивает безопасность на транспортном уровне, обеспечивая шифрование любого потока данных из хранилища ключей в клиентское приложение. Azure Key Vault предоставляет безопасный способ хранения важных сведений о доступе и настройки точного управления доступом. Вы можете управлять всеми секретными данными с одной панели управления. Выберите хранение ключа в модулях аппаратной безопасности (HSM) с программной или аппаратной защитой. Вы также можете настроить Key Vault для автоматического восстановления сертификатов.

Полное руководство по тому, как включить расширение VM Azure Key Vault с управляемым удостоверением, назначенным пользователем пула, см. в статье "Включение автоматической смены сертификатов в пуле Batch".

Вопросы и ответы

• Поддерживают ли CloudServiceConfiguration пулы расширение виртуальной машины Azure Key Vault и управляемое удостоверение в пулах?

  Нет. CloudServiceConfiguration пулы будут удалены в тот же день, что и отзыв сертификата учетной записи Azure Batch, 29 февраля 2024 г. Рекомендуем вам перейти на пулы VirtualMachineConfiguration до этой даты, где вы сможете использовать эти решения.

• Поддерживают ли учетные записи пакетной службы распределения пула подписок Azure Key Vault?

  Да. Вы можете использовать тот же хранилище ключей, что и указано для вашей Batch учетной записи, так же как и для использования с пулами Batch, но хранилище ключей, используемое для сертификатов для ваших пулов Batch, может быть совершенно отдельным.

• Поддерживаются ли пулы Batch для Linux и Windows с расширением Key Vault для виртуальной машины?

  Да. См. документацию по Windows и Linux.

• Можно ли обновить существующие пулы с расширением виртуальной машины Key Vault?

  Нет, эти свойства не могут быть обновлены в пуле. Необходимо повторно создать пулы.

• Как получить ссылки на сертификаты в пулах пакетной обработки Linux, поскольку $AZ_BATCH_CERTIFICATES_DIR будет удален?

  Расширение виртуальной машины Key Vault для Linux позволяет указать certificateStoreLocationабсолютный путь к месту хранения сертификатов. Расширение виртуальной машины Key Vault будет ограничивать доступ к сертификатам, установленным в указанном расположении и доступным только суперпользователю (root). Необходимо убедиться, что задачи выполняются с повышенными привилегиями, чтобы получить доступ к этим сертификатам по умолчанию, или скопировать сертификаты в доступный каталог напрямую и/или настроить файлы сертификатов с соответствующими правами доступа. Такие команды можно выполнять как часть задачи запуска с повышенными привилегиями или задачи подготовки заданий.

• Как установить .cer файлы, которые не содержат закрытые ключи?

  Key Vault не рассматривает эти файлы как привилегированные, так как они не содержат сведения о закрытом ключе. Файлы .cer могут быть установлены любым из приведенных ниже методов. Используйте секреты Key Vault с соответствующими привилегиями доступа для связанного управляемого удостоверения, назначаемого пользователем, и извлеките .cer файл в рамках начальной задачи для установки. Кроме того, сохраните .cer файл как объект Blob в службе хранилища Azure и укажите его как файл ресурса для пакета в начальной задаче установки.

• Как получить доступ к сертификатам, установленным расширением Key Vault, для удостоверений пула пользователей уровня задачи, не обладающих правами администратора?

  Автопользователи на уровне задач создаются динамически и их невозможно предопределить для указания свойства accounts в расширении виртуальной машины Key Vault. Вам потребуется настраиваемый процесс, который экспортирует необходимый сертификат в общедоступное хранилище или ACL для доступа автоматизированными пользователями на уровне задач.

• Где можно найти рекомендации по использованию Azure Key Vault?

  Ознакомьтесь с рекомендациями по Azure Key Vault.

Дальнейшие шаги

Дополнительные сведения см. в разделе "Управление доступом к сертификату Key Vault". Дополнительные сведения о функциональных возможностях пакетной службы, связанных с этой миграцией, см. в разделе расширения пула пакетнойслужбы Azure и управляемое удостоверение пула пакетной службы Azure.