Dela via

Konfigurera Key Vault för rotation av hanterade autentiseringsuppgifter i Operator Nexus

  • Artikel

Azure Operator Nexus använder hemligheter och certifikat för att hantera komponentsäkerhet över hela plattformen. Plattformen Operator Nexus hanterar rotationen av dessa hemligheter och certifikat. Som standard lagrar Operator Nexus autentiseringsuppgifterna i ett hanterat Nyckelvalv. För att behålla de roterade autentiseringsuppgifterna i sitt eget Key Vault måste användaren konfigurera Key Vault för Azure Operator Nexus-instansen. När användaren har skapats måste han eller hon lägga till en rolltilldelning i kundens nyckelvalv så att Operator Nexus Platform kan skriva uppdaterade autentiseringsuppgifter och dessutom länka kundens nyckelvalv till Nexus-klusterresursen.

Förutsättningar

  • Installera den senaste versionen av lämpliga CLI-tillägg
  • Hämta prenumerations-ID:t för kundens prenumeration

Kommentar

Ett enda Key Vault kan användas för valfritt antal kluster.

Konfigurera hanterad identitet för Klusterhanteraren

Från och med API:et 2024-06-01-public-preview används hanterade identiteter i Klusterhanteraren för skrivåtkomst till roterade autentiseringsuppgifter till ett nyckelvalv. Klusterhanterarens identitet kan vara systemtilldelad eller användartilldelad och kan hanteras direkt via API:er eller via CLI.

I de här exemplen beskrivs hur du konfigurerar en hanterad identitet för en klusterhanterare.

  • Skapa eller uppdatera Klusterhanteraren med systemtilldelad identitet
        az networkcloud clustermanager create --name "clusterManagerName" --location "location" \
        --analytics-workspace-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
        --fabric-controller-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/fabricControllerName" \
        --managed-resource-group-configuration name="my-managed-rg" --tags key1="myvalue1" key2="myvalue2" --resource-group "resourceGroupName" --mi-system-assigned
  • Skapa eller uppdatera Klusterhanteraren med användartilldelad identitet
        az networkcloud clustermanager create --name <Cluster Manager Name> --location <Location> \
        --analytics-workspace-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
        --fabric-controller-id "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedNetworkFabric/networkFabricControllers/fabricControllerName" \
        --managed-resource-group-configuration name="my-managed-rg" --tags key1="myvalue1" key2="myvalue2" \
        --resource-group <Resource Group Name> --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAI"
  • Lägga till systemtilldelad identitet i Klusterhanteraren
        az networkcloud clustermanager update --name <Cluster Manager Name> --resource-group <Resource Group Name> --mi-system-assigned
  • Lägga till användartilldelad identitet i Klusterhanteraren
        az networkcloud clustermanager update --name <Cluster Manager Name> --resource-group <Resource Group Name> \
        --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAI"

Hämta huvud-ID:t för den hanterade identiteten

När en hanterad identitet har konfigurerats använder du CLI för att visa identiteten och tillhörande huvudnamns-ID-data i klusterhanteraren.

Exempel:

az networkcloud clustermanager show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Manager Resource Group Name>/providers/Microsoft.NetworkCloud/clusterManagers/<Cluster Manager Name>

Exempel på systemtilldelad identitet:

    "identity": {
        "principalId": "2cb564c1-b4e5-4c71-bbc1-6ae259aa5f87",
        "tenantId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
        "type": "SystemAssigned"
    },

Exempel på användartilldelad identitet:

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "e67dd610-99cf-4853-9fa0-d236b214e984",
                "principalId": "8e6d23d6-bb6b-4cf3-a00f-4cd640ab1a24"
            }
        }
    },

Använda app-ID:t för Key Vault-åtkomst

Viktigt!

Användning av app-ID:er för customer key vault-åtkomst är inaktuell och supporten tas bort i en framtida version. Vi rekommenderar att du använder hanterade identitetsobjekt.

I stället för hanterade identiteter ger följande program-ID:n åtkomst till Key Vault.

  • Kontrollera att Microsoft.NetworkCloud-resursprovidern är registrerad med kundprenumerationen.
az provider register --namespace 'Microsoft.NetworkCloud' --subscription <Subscription ID>
  • När du har tilldelats rollåtkomst till nyckelvalvet använder du följande app-ID:t som huvudnamns-ID:t.
Environment Appnamn Program-ID
Produktion AFOI-NC-RP-PME-PROD 05cf5e27-931d-47ad-826d-cb9028d8bd7a
Produktion AFOI-NC-MGMT-PME-PROD 3365d4ea-bb16-4bc9-86dd-f2c8cf6f1f56

Skriva uppdateringar av autentiseringsuppgifter till ett kundnyckelvalv i Nexus-kluster

  • Tilldela rollen Operator Nexus Key Vault Writer Service. Se till att rollbaserad åtkomstkontroll i Azure har valts som behörighetsmodell för nyckelvalvet i konfigurationsvyn Åtkomst. I vyn Åtkomstkontroll väljer du sedan att lägga till en rolltilldelning.
Rollnamn Rolldefinitions-ID
Operatorn Nexus Key Vault Writer Service Role (förhandsversion) 44f0a1a8-6fea-4b35-980a-8ff50c487c97

Exempel:

az role assignment create --assignee <Managed Identity Principal Id> --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>
  • Användaren associerar Customer Key Vault med Operator Nexus-klustret. Resurs-ID:t för nyckelvalvet måste konfigureras i klustret och aktiveras för att lagra klustrets hemligheter.

Exempel:

# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"

# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive

Lägga till en behörighet till användartilldelad identitet

När du använder en användartilldelad identitet lägger du till följande rolltilldelning till UAI-resursen:

  1. Öppna Azure-portalen och leta upp den användartilldelade identiteten i fråga.
  2. Under Åtkomstkontroll (IAM) klickar du på Lägg till rolltilldelning.
  3. Välj roll: Hanterad identitetsoperator. (Se de behörigheter som rollen ger hanterad identitetsoperator).
  4. Tilldela åtkomst till: Användare, grupp eller tjänstens huvudnamn.
  5. Välj Medlem: AFOI-NC-MGMT-PME-PROD-program.
  6. Granska och tilldela.

Om du vill ha mer hjälp:

az networkcloud cluster update --secret-archive ?? --help