在操作員 Nexus 中設定受控認證輪替的 金鑰保存庫
Azure 操作員 Nexus 會利用秘密和憑證來管理跨平臺的元件安全性。 操作員 Nexus 平台會處理這些秘密和憑證的輪替。 根據預設,Operator Nexus 會將認證儲存在受控 金鑰保存庫 中。 若要將輪替認證保留在自己的 金鑰保存庫 中,用戶必須設定 Azure 操作員 Nexus 實例的 金鑰保存庫。 建立之後,用戶必須在客戶 金鑰保存庫 上新增角色指派,以允許操作員 Nexus Platform 撰寫更新的認證,並另外將客戶 金鑰保存庫 連結至 Nexus 叢集資源。
必要條件
- 安裝最新版本的適當 CLI 擴充功能
- 取得客戶訂用帳戶的訂用帳戶標識碼
注意
單一 金鑰保存庫 可用於任意數目的叢集。
將認證 更新 寫入 Nexus 叢集上的客戶 金鑰保存庫
- 請確定 Microsoft.NetworkCloud 資源提供者已向客戶訂用帳戶註冊。
az provider register --namespace 'Microsoft.NetworkCloud' --subscription <Subscription ID>
- 指派操作員 Nexus 金鑰保存庫 寫入器服務角色。 確定已選取 Azure 角色型存取組態檢視上密鑰保存庫的許可權模型。 然後,從 [ 訪問控制][IAM] 檢視中,選取以新增角色指派。
| 角色名稱 | 角色定義標識碼 |
|---|---|
| 操作員 Nexus 金鑰保存庫 寫入器服務角色 (預覽) | 44f0a1a8-6fea-4b35-980a-8ff50c487c97 |
| Environment | 應用程式名稱 | 應用程式識別碼 |
|---|---|---|
| Production | AFOI-NC-RP-PME-PROD | 05cf5e27-931d-47ad-826d-cb9028d8bd7a |
| Production | AFOI-NC-MGMT-PME-PROD | 3365d4ea-bb16-4bc9-86dd-f2c8cf6f1f56 |
範例:
az role assignment create --assignee 05cf5e27-931d-47ad-826d-cb9028d8bd7a --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>
az role assignment create --assignee 3365d4ea-bb16-4bc9-86dd-f2c8cf6f1f56 --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>
- 用戶會將客戶 金鑰保存庫 與操作員 Nexus 叢集產生關聯。 金鑰保存庫資源識別碼必須在叢集中設定,並啟用以儲存叢集的秘密。
範例:
# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"
# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive
如需更多說明:
az networkcloud cluster update --secret-archive ?? --help
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應