Перенос сертификатов учетной записи пакетной службы в Azure Key Vault

29 февраля 2024 г. функция сертификатов учетной записи пакетная служба Azure будет прекращена. Узнайте, как перенести сертификаты в учетных записях пакетная служба Azure с помощью Azure Key Vault в этой статье.

Сведения о функции

Сертификаты часто требуются в различных сценариях, таких как расшифровка секрета, защита каналов связи или доступ к другой службе. В настоящее время пакетная служба Azure предлагает два способа управления сертификатами в пулах пакетной службы. Вы можете добавить сертификаты в учетную запись пакетной службы или использовать расширение виртуальной машины Azure Key Vault для управления сертификатами в пулах пакетной службы. Удаляются только функциональные возможности сертификата в учетной записи пакетная служба Azure и функциональные возможности, которые она распространяется на пул пакетной службы, CertificateReference чтобы добавить пул, пул исправлений, свойства обновления и соответствующие ссылки на API get и list pool. Кроме того, для пулов Linux переменная $AZ_BATCH_CERTIFICATES_DIR среды больше не будет определена и заполнена.

Окончание поддержки компонентов

Azure Key Vault — это стандартный рекомендуемый механизм для хранения и доступа к секретам и сертификатам в Azure безопасно. Поэтому 29 февраля 2024 г. мы удалим функцию сертификатов учетной записи пакетной службы в пакетная служба Azure. Альтернативой является использование расширения виртуальной машины Azure Key Vault и управляемого удостоверения, назначаемого пользователем в пуле, для безопасного доступа к сертификатам и установке сертификатов в пулах пакетной службы.

После выхода на пенсию функции сертификатов в пакетная служба Azure 29 февраля 2024 г. сертификат в пакетной службе не будет работать должным образом. После этой даты вы больше не сможете добавлять сертификаты в учетную запись пакетной службы или связывать эти сертификаты с пулами пакетной службы. Пулы, которые продолжают использовать эту функцию после этой даты, могут не вести себя должным образом, например обновление ссылок на сертификаты или возможность установки существующих ссылок на сертификаты.

Альтернатива. Использование расширения виртуальной машины Azure Key Vault с управляемым удостоверением, назначенным пользователем пула

Azure Key Vault — это полностью управляемая служба Azure, которая обеспечивает управляемый доступ к хранилищу секретов, сертификатов, маркеров и ключей. Key Vault обеспечивает безопасность на транспортном уровне, обеспечивая шифрование любого потока данных из хранилища ключей в клиентское приложение. Azure Key Vault предоставляет безопасный способ хранения важных сведений о доступе и настройки точного управления доступом. Вы можете управлять всеми секретами с одной панели мониторинга. Выберите хранение ключа в аппаратных модулях безопасности с защитой программного обеспечения или аппаратным оборудованием. Вы также можете настроить Key Vault для автоматического восстановления сертификатов.

Полное руководство по включению расширения виртуальной машины Azure Key Vault с управляемым удостоверением, назначаемого пользователем пула, см. в статье "Включить автоматическую смену сертификатов в пуле пакетной службы".

Вопросы и ответы по

• Поддерживают ли CloudServiceConfiguration пулы расширение виртуальной машины Azure Key Vault и управляемое удостоверение в пулах?

  № CloudServiceConfigurationПулы будут сняты с той же даты, что и сертификат учетной записи пакетная служба Azure 29 февраля 2024 года. Рекомендуется перенести VirtualMachineConfiguration в пулы до этой даты, где вы сможете использовать эти решения.

• Поддерживают ли учетные записи пакетной службы распределения пула подписок Azure Key Vault?

  Да. Вы можете использовать то же хранилище ключей, что и для использования с пулами пакетной службы, но хранилище ключей, используемое для сертификатов для пулов пакетной службы, может быть полностью разделено.

• Поддерживаются ли пулы пакетной службы Linux и Windows с расширением виртуальной машины Key Vault?

  Да. См. документацию по Windows и Linux.

• Можно ли обновить существующие пулы с расширением виртуальной машины Key Vault?

  Нет, эти свойства не обновляются в пуле. Необходимо повторно создать пулы.

• Разделы справки получать ссылки на сертификаты в пулах пакетной службы Linux, так как $AZ_BATCH_CERTIFICATES_DIR будут удалены?

  Расширение виртуальной машины Key Vault для Linux позволяет указать certificateStoreLocationабсолютный путь к месту хранения сертификата. Расширение виртуальной машины Key Vault будет область сертификаты, установленные в указанном расположении только с привилегиями суперпользователя (корневой). Необходимо убедиться, что задачи выполняются с повышенными привилегиями, чтобы получить доступ к этим сертификатам по умолчанию, или скопировать сертификаты в доступный доступ напрямую и (или) настроить файлы сертификатов с соответствующими режимами файлов. Такие команды можно выполнять как часть задачи запуска с повышенными привилегиями или задачи подготовки заданий.

• Разделы справки установить .cer файлы, не содержащие закрытые ключи?

  Key Vault не рассматривает эти файлы как привилегированные, так как они не содержат сведения о закрытом ключе. Файлы можно установить .cer с помощью любого из следующих методов. Используйте секреты Key Vault с соответствующими привилегиями доступа для связанного управляемого удостоверения, назначаемого пользователем, и извлеките .cer файл в рамках начальной задачи для установки. Кроме того, сохраните .cer файл в виде служба хранилища Azure BLOB-объекта и ссылки на него в качестве файла ресурса пакетной службы в начальной задаче для установки.

• Разделы справки доступ к расширению Key Vault установлены сертификаты для удостоверений пула, не относящихся к уровню задач, не являющихся администраторами?

  Автоматическое использование на уровне задач создается по запросу и не может быть предопределено для указания accounts свойства в расширении виртуальной машины Key Vault. Вам потребуется настраиваемый процесс, который экспортирует необходимый сертификат в обычно доступное хранилище или списки управления доступом для автоматического использования на уровне задач.

• Где можно найти рекомендации по использованию Azure Key Vault?

  Ознакомьтесь с рекомендациями по Azure Key Vault.

Следующие шаги

Дополнительные сведения см. в разделе "Управление доступом к сертификату Key Vault". Дополнительные сведения о функциональных возможностях пакетной службы, связанных с этой миграцией, см. в разделе пакетная служба Azure расширения пула и пакетная служба Azure Управляемое удостоверение пула.