共用方式為

管理 Azure IoT 操作部署的祕密

Azure IoT 作業會使用 Azure Key Vault 作為雲端上的受控保存庫解決方案,並使用適用於 Kubernetes 的 Azure Key Vault 祕密存放區擴充功能,從雲端同步處理祕密,並將其儲存在邊緣作為 Kubernetes 祕密。 邊緣資源如連接器與資料流可在連接外部系統時使用這些秘密進行認證。

先決條件

使用安全設定部署的 Azure IoT 操作執行個體。 如果您使用測試設定部署 Azure IoT 操作,而現在想要使用祕密,您必須先啟用安全設定

設定 Azure Key Vault 的權限

要利用操作經驗在金鑰庫中建立秘密,使用者需要在 Azure 資源層級取得 金鑰庫秘密官 權限。

在測試或開發環境中,請依以下步驟將 Key Vault Secrets Officer 角色指派給您的使用者,在部署了 Azure IoT Operations 個體和 Azure Key Vault 實例的資源群組層級:

  1. 要找到資源群組名稱,請前往 operations experience 網頁介面,進入 Instances 頁面,找到你的 Azure IoT Operations 實例。 資源群組名稱顯示在 資源群組 欄位中。

  2. 前往 Azure 入口網站 ,然後前往部署 Azure IoT Operations 實例和 Azure Key Vault 實例的資源群組。

    小提示

    使用 Azure 入口網站頂端的搜尋框,輸入資源群組名稱即可快速找到。

  3. 從左側選單選擇存取控制(IAM)。 然後選擇 + 新增 > 角色分配

  4. 角色 標籤中,從角色列表中選擇 Key Vault Secrets Officer,然後選擇 下一步

  5. 「成員」 標籤中,選擇 使用者、群組或服務主體,選擇 「選擇成員」,選擇你想指派 金鑰庫密碼管理官 角色的使用者,然後選擇 「下一步」

  6. 選取 [檢閱 + 指派],以完成角色指派。

在生產環境中,請遵循最佳實務來保護你在 Azure IoT Operations 中使用的 Azure Key Vault。 欲了解更多資訊,請參閱 使用 Azure Key Vault 的最佳實務

新增和使用祕密

Azure IoT 操作的祕密管理會使用密碼存放區擴充功能,同步處理 Azure Key Vault 中的祕密,並將祕密儲存在邊緣作為 Kubernetes 祕密。 當您在部署期間啟用安全設定時,您選取了 Azure Key Vault 進行祕密管理。 在 Azure IoT 操作內使用的所有祕密都會儲存在此 Key Vault。

附註

Azure IoT 操作執行個體只能與一個 Azure Key Vault 搭配運作,不支援每個執行個體有多個金鑰保存庫。

完成設定秘密管理步驟後,您可以開始將秘密新增至 Azure Key Vault,並將其同步到 Kubernetes 叢集,以便使用作業體驗 Web UI 來用於裝置資料流程端點

秘密用於裝置和資料流程端點以進行驗證。 本節使用裝置作為範例。 相同的程式可以套用至數據流端點。 您可以選擇直接在 Azure Key Vault 中建立秘密,並自動同步處理至叢集,或使用密鑰保存庫中的現有秘密參考:

  1. 移至 [作業體驗] Web UI 中的 [裝置] 頁面。

  2. 若要新增秘密參考,請在建立新裝置時選取 [新增參考]

    螢幕擷取畫面顯示了在作業體驗中選取祕密時從 Azure Key Vault 新增和建立新選項。

    • 建立新的秘密:在 Azure Key Vault 中建立秘密參考,並使用秘密存放區擴充功能自動將秘密同步處理至叢集。 如果您未事先在金鑰保存庫中建立此案例所需的祕密,請使用此選項。

    • 從 Azure Key Vault 新增:如果金鑰保存庫中的現有機密之前未被同步,則將其同步到叢集。 選取此選項會顯示已選取金鑰保存庫中的祕密參考清單。 如果您事先在金鑰保存庫中建立祕密,請使用此選項。 只有最新版本的秘密會同步至叢集

  3. 當您將使用者名稱和密碼參考新增至裝置或資料流程端點時,您還需要為同步的秘密命名。 祕密參考會儲存在叢集中,具有此指定名稱,作為單一祕密同步資源。 在下列螢幕快照的範例中,用戶名稱和密碼參考會以 edp1secrets的形式儲存至叢集。

    螢幕快照:在作業體驗中選取使用者名稱密碼作為驗證模式時,顯示同步的密碼名稱欄位。

管理已同步的祕密

本節使用裝置作為範例。 相同的程式可以套用至資料流端點:

  1. 移至 [作業體驗] Web UI 中的 [裝置] 頁面。

  2. 若要檢視秘密清單,請選取 [管理憑證和秘密 ],然後選取 [ 秘密]:

    顯示作業體驗秘密頁面中已同步秘密清單的螢幕快照。

您可以使用 [秘密] 頁面來檢視裝置和資料流程端點中的同步秘密。 祕密頁面會顯示您正在檢視之資源的邊緣上所有目前同步的祕密清單。 同步的祕密代表一或多個祕密參考,取決於使用它的資源。 套用至同步祕密的任何作業都會套用至同步祕密中包含的所有祕密參考。

您也可以在 [秘密] 頁面中刪除同步的 秘密 。 當您刪除同步的秘密時,它只會從 Kubernetes 叢集刪除同步的秘密,而且不會從 Azure Key Vault 刪除包含的秘密參考。 您必須從金鑰保存庫手動刪除憑證密碼。

警告

直接編輯 Kubernetes 叢集中的 SecretProviderClassSecretSync 自訂資源,可能會中斷 Azure IoT 操作中的祕密流程。 對於與秘密相關的任何作業,請使用作業體驗Web UI。

刪除同步的祕密之前,請確定已從 Azure IoT 操作元件移除對祕密的所有參考。

  • Last updated on