Aracılığıyla paylaş

Azure IoT işlemlerinizin dağıtımı için gizli bilgileri yönetin

Azure IoT İşlemleri, bulutta yönetilen kasa çözümü olarak Azure Key Vault'u kullanır ve Kubernetes için Azure Key Vault Gizli Dizi Deposu uzantısını kullanarak gizli anahtarları buluttan eşitler ve uçta Kubernetes gizli anahtarları olarak depolar. Bağlayıcılar ve veri akışları gibi uç kaynaklar, dış sistemlere bağlanırken kimlik doğrulaması için bu gizli dizileri kullanabilir.

Önkoşullar

Gizli bilgileri yönetmek için güvenli ayarlarla yapılandırılmış bir Azure IoT İşlemleri örneğine ihtiyaç vardır. Azure IoT İşlemlerini test ayarlarıyla dağıttıysanız, önce güvenli ayarları etkinleştirmeniz gerekir.

Azure Key Vault izinlerini yapılandırma

Kullanıcı, anahtar kasasında gizli bilgiler oluşturmak için işlem deneyiminden yararlanmak amacıyla Azure'da kaynak düzeyinde Key Vault Gizli Bilgi Yetkilisi izinlerine ihtiyaç duyar.

Test veya geliştirme ortamında, Azure IoT İşlemleri örneğinin ve Azure Key Vault örneğinin dağıtıldığı kaynak grubu düzeyinde kullanıcınıza Key Vault Gizli Dizileri Yetkilisi rolünü atamak için aşağıdaki adımları kullanın:

  1. Kaynak grubunun adını bulmak için işlem deneyimi web kullanıcı arabirimine gidin, Örnekler sayfasına gidin ve Azure IoT İşlemleri örneğinizi bulun. Kaynak grubu adı Kaynak grubu alanında gösterilir.

  2. Azure portalına gidin ve ardından Azure IoT İşlemleri örneğinizin ve Azure Key Vault örneğinizin dağıtıldığı kaynak grubuna gidin.

    Tip

    Adı yazarak kaynak grubunu hızlı bir şekilde bulmak için Azure portalının üst kısmındaki arama kutusunu kullanın.

  3. Sol taraftaki menüden Erişim denetimi (IAM) öğesini seçin. Ardından + Ekle > Rol ataması ekle'yi seçin.

  4. Rol sekmesinde, listeden Key Vault Sırlar Görevlisi'ni seçin ve ardından İleri'yi seçin.

  5. Üyeler sekmesinde Kullanıcı, grup veya hizmet sorumlusu'na tıklayın,Üyeleri seç'i seçin, Key Vault Gizli DiziLeri Yetkilisi rolünü atamak istediğiniz kullanıcıyı seçin ve ardından İleri'yi seçin.

  6. Rol atamasını tamamlamak için Gözden geçir ve ata seçeneğini seçin.

Üretim ortamında, Azure IoT İşlemleri ile kullandığınız Azure Key Vault'un güvenliğini sağlamak için en iyi yöntemleri izleyin. Daha fazla bilgi için bkz. Azure Key Vault'un kullanımına yönelik en iyi yöntemler.

Gizli bilgileri ekleme ve kullanma

Azure IoT İşlemleri için gizlilik yönetimi, gizli bilgileri bir Azure Key Vault'tan senkronize etmek ve uçta Kubernetes gizlilikleri olarak depolamak için Secret Store uzantısını kullanır. Dağıtım sırasında güvenli ayarları etkinleştirdiğinizde, gizli yönetimi için bir Azure Key Vault seçtiniz. Azure IoT İşlemleri içinde kullanılacak tüm gizli dizilerin depolandığı bu Key Vault'tadır.

Not

Azure IoT İşlemleri örnekleri yalnızca bir Azure Key Vault ile çalışır; örnek başına birden çok anahtar kasası desteklenmez.

Gizli dizi yönetimi adımlarını ayarladıktan sonra Azure Key Vault'a gizli diziler ekleyebilir ve bunları işlem deneyimi web kullanıcı arabirimini kullanarak Cihaz gelen uç noktaları veya Veri akışı uç noktaları'nda kullanılacak Kubernetes kümesiyle eşitleyebilirsiniz. Gizli diziler genellikle dış sistemlerde kimlik doğrulaması için gereken kullanıcı adları, parolalar, sertifikalar veya özel anahtarlardır.

Kimlik doğrulaması için gizli anahtarlar, cihazın gelen uç noktaları ve veri akışı uç noktalarında kullanılır. Bu bölümde örnek olarak cihaz gelen uç noktaları kullanılır. Aynı işlem veri akışı uç noktalarına da uygulanabilir. Azure Key Vault'ta gizli bir öğe doğrudan oluşturabilir ve kümeyle otomatik olarak eşitlenmesini sağlayabilir veya anahtar kasasından mevcut bir gizli öğe referansını kullanabilirsiniz.

  1. İşlem deneyimi web kullanıcı arabiriminde Cihaz gelen uç noktaları sayfasına gidin.

  2. Yeni bir gizli referans eklemek için bir cihaz gelen uç noktası oluştururken Başvuru ekle'yi seçin.

    İşlem deneyiminde gizli bilgiyi seçerken Azure Key Vault'tan Ekle ve Yeni oluştur seçeneklerini gösteren ekran görüntüsü.

    • Yeni bir gizli oluştur: Azure Key Vault'ta bir gizli oluşturur ve gizliyi, gizli deposu uzantısını kullanarak kümeyle senkronize eder.

    • Azure Key Vault'tan ekleme: Daha önce eşitlenmemişse anahtar kasasındaki mevcut bir gizli anahtarı kümeye eşitler. Bu seçeneği seçmek, seçili anahtar kasasındaki sırların listesini gösterir. Kümeye yalnızca gizli bilginin en son sürümü eşitlenir.

  3. Cihazlara veya veri akışı uç noktalarına kullanıcı adı ve parola başvuruları eklediğinizde, eşitlenmiş gizli diziye bir ad vermeniz gerekir. Gizli başvurular, bu adla kümeye tek bir gizli eşitleme kaynağı olarak kaydedilir. Aşağıdaki ekran görüntüsündeki örnekte, kullanıcı adı ve parola başvuruları kümeye edp1secrets olarak kaydedilir.

    İşlem deneyiminde kimlik doğrulama modu için kullanıcı adı parolası seçildiğinde eşitlenen gizli dizi adı alanını gösteren ekran görüntüsü.

Senkronize edilen gizli bilgileri yönet

Bu bölümde örnek olarak cihaz gelen uç noktaları kullanılır. Aynı işlem veri akışı uç noktalarına da uygulanabilir:

  1. İşlem deneyimi web kullanıcı arabiriminde Cihazlar sayfasına gidin.

  2. Gizli dizi listesini görüntülemek için Sertifikaları ve gizli dizileri yönet'i ve ardından Gizli Diziler'i seçin:

    Operasyon deneyimi gizli bilgiler sayfasındaki eşitlenmiş gizli bilgiler listesini gösteren ekran görüntüsü.

Cihazlarınızda ve veri akışı uç noktalarınızda eşitlenmiş gizli dizileri görüntülemek için Gizli Diziler sayfasını kullanabilirsiniz. Gizli bilgiler sayfası, görüntülemekte olduğunuz kaynağın uçta tüm geçerli senkronize edilmiş gizli bilgilerin listesini gösterir. Eşitlenen gizli, kullanan kaynağa bağlı olarak bir veya birden fazla gizli referans(lar)ını temsil eder. Senkronize edilmiş bir gizli anahtara uygulanan herhangi bir işlem, senkronize edilmiş gizli anahtar içinde yer alan tüm gizli anahtar referanslarına da uygulanır.

Eşitlenen gizlileri Gizliler sayfasından silebilirsiniz. Eşitlenmiş bir gizli diziyi sildiğinizde, kubernetes kümesinden yalnızca eşitlenen gizli dizi silinir ve Azure Key Vault'tan kapsanan gizli dizi başvurusu silinmez. Sertifika gizlisini anahtar kasasından el ile silmeniz gerekir.

Uyarı

Kubernetes kümenizdeki SecretProviderClass ve SecretSync özel kaynaklarını doğrudan düzenlemek, Azure IoT İşlemleri'nde gizli dizi akışını bozabilir. Gizli bilgilerle ilgili tüm işlemler için işlemler deneyimi web arabirimini kullanın.

Eşitlenmiş gizli diziyi silmeden önce Azure IoT İşlemleri bileşenlerinden gizli diziye yapılan tüm başvuruların kaldırıldığından emin olun.

Azure Key Vault'a gizli anahtarlar ekleme

Daha önce Azure Key Vault'a eklenmiş olan gizli dizileri seçmek için işlem deneyimini kullanıyorsanız gizli dizilerin Azure IoT İşlemleri tarafından desteklenen bir biçimde ve kodlamada olduğundan emin olun.

Azure Key Vault'a PEM sertifika gizli dizisi eklemek için aşağıdaki örneğe benzer bir komut kullanabilirsiniz:

az keyvault secret set \
  --vault-name <your-key-vault-name> \
  --name client-cert-pem \
  --file ./client-cert.pem \
  --encoding hex \
  --content-type 'application/x-pem-file'

Azure Key Vault'a ikili DER sertifika gizli dizisi eklemek için aşağıdaki örneğe benzer bir komut kullanabilirsiniz:

az keyvault secret set \
  --vault-name <your-key-vault-name> \
  --name cert-file-der \
  --file ./cert-file.der \
  --encoding hex \
  --content-type 'application/pkix-cert'
  • Last updated on