Share via

Geheimen beheren voor uw Azure IoT Operations-implementatie

Azure IoT Operations maakt gebruik van Azure Key Vault als de beheerde kluisoplossing in de cloud en maakt gebruik van de Azure Key Vault Secret Store-extensie voor Kubernetes om de geheimen offline vanuit de cloud te synchroniseren en op te slaan als Kubernetes-geheimen.

Belangrijk

Volg de aanbevolen procedures om de Azure Key Vault te beveiligen die u gebruikt met Azure IoT Operations. Het waarborgen van de beveiliging van uw Key Vault is van cruciaal belang voor het beveiligen van uw geheimen. Zie beste werkwijzen voor Azure Key Vault voor gedetailleerde richtlijnen om uw Azure Key Vault te beveiligen.

Vereisten

  • Een Azure IoT Operations-exemplaar dat is geïmplementeerd met beveiligde instellingen. Als u Azure IoT Operations hebt geïmplementeerd met testinstellingen en nu geheimen wilt gebruiken, moet u eerst beveiligde instellingen inschakelen.

  • Voor het maken van geheimen in de sleutelkluis zijn Secrets officer machtigingen vereist op resourceniveau. Zie Stappen voor het toewijzen van een Azure-rol voor informatie over het toewijzen van rollen aan gebruikers.

Geheimen toevoegen en gebruiken

Geheimenbeheer voor Azure IoT Operations maakt gebruik van de extensie Secret Store om de geheimen vanuit een Azure Key Vault te synchroniseren en op te slaan aan de rand als Kubernetes-geheimen. Wanneer u tijdens de implementatie beveiligde instellingen hebt ingeschakeld, hebt u een Azure Key Vault geselecteerd voor geheimbeheer. Het is in deze Key Vault waar alle geheimen die moeten worden gebruikt in Azure IoT Operations worden opgeslagen.

Notitie

Azure IoT Operations-exemplaren werken met slechts één Azure Key Vault. Meerdere sleutelkluizen per exemplaar worden niet ondersteund.

Zodra de stappen voor het instellen van geheimenbeheer zijn voltooid, kunt u beginnen met het toevoegen van geheimen aan Azure Key Vault en deze synchroniseren met het Kubernetes-cluster dat moet worden gebruikt in eindpunten voor apparaten of gegevensstromen met behulp van de webgebruikersinterface van operations experience .

Geheimen worden gebruikt in apparaten en gegevensstroomeindpunten voor verificatie. In deze sectie worden apparaten als voorbeeld gebruikt. Hetzelfde proces kan worden toegepast op gegevensstroomeindpunten. U hebt de mogelijkheid om het geheim rechtstreeks te maken in Azure Key Vault en deze automatisch te laten synchroniseren met het cluster of een bestaande geheime verwijzing uit de sleutelkluis te gebruiken:

  1. Ga naar de pagina Apparaten in de webgebruikersinterface van de bewerkingservaring .

  2. Als u een nieuwe geheime verwijzing wilt toevoegen, selecteert u Verwijzing toevoegen bij het maken van een nieuw apparaat:

    Schermopname dat de opties 'Toevoegen uit Azure Key Vault' en 'Nieuwe optie maken' toont wanneer u een geheim selecteert in bewerkingservaring.

    • Maak een nieuw geheim: hiermee maakt u een geheime verwijzing in Azure Key Vault en synchroniseert u het geheim ook automatisch naar het cluster met behulp van de extensie Secret Store. Gebruik deze optie als u het geheim dat u nodig hebt voor dit scenario niet vooraf hebt aangemaakt in de Key Vault.

    • Toevoegen vanuit Azure Key Vault: synchroniseert een bestaand geheim in de sleutelkluis naar het cluster als het nog niet eerder is gesynchroniseerd. Als u deze optie selecteert, ziet u de lijst met geheime verwijzingen in de geselecteerde sleutelkluis. Gebruik deze optie als u het geheim vooraf in de sleutelkluis hebt gemaakt. Alleen de nieuwste versie van het geheim wordt gesynchroniseerd met het cluster.

  3. Wanneer u de gebruikersnaam en het wachtwoord toevoegt aan de apparaten of gegevensstroomeindpunten, moet u het gesynchroniseerde geheim een naam geven. De geheime verwijzingen worden opgeslagen in het cluster met deze opgegeven naam als een enkele geheime synchronisatiebron. In het voorbeeld in de onderstaande schermopname worden de referenties voor gebruikersnaam en wachtwoord opgeslagen in het cluster als edp1secrets.

    Schermopname van het veld gesynchroniseerde geheime naam wanneer het gebruikersnaamwachtwoord is geselecteerd voor de verificatiemodus in de bewerkingservaring.

Gesynchroniseerde geheimen beheren

In deze sectie worden apparaten als voorbeeld gebruikt. Hetzelfde proces kan worden toegepast op gegevensstroomeindpunten:

  1. Ga naar de pagina Apparaten in de webgebruikersinterface van de bewerkingservaring .

  2. Als u de lijst met geheimen wilt weergeven, selecteert u Certificaten en geheimen beheren en vervolgens Geheimen:

    Schermopname van de lijst met gesynchroniseerde geheimen op de pagina van geheimen van de operatie-ervaring.

U kunt de pagina Geheimen gebruiken om gesynchroniseerde geheimen op uw apparaten en eindpunten voor gegevensstromen weer te geven. De pagina Geheimen toont de lijst met alle huidige gesynchroniseerde geheimen aan de rand voor de resource die u bekijkt. Een gesynchroniseerd geheim vertegenwoordigt een of meer geheime verwijzingen, afhankelijk van de resource die het gebruikt. Elke bewerking die wordt toegepast op een gesynchroniseerd geheim, wordt toegepast op alle geheime verwijzingen in het gesynchroniseerde geheim.

U kunt gesynchroniseerde geheimen ook verwijderen op de pagina Geheimen . Wanneer u een gesynchroniseerd geheim verwijdert, wordt alleen het gesynchroniseerde geheim uit het Kubernetes-cluster verwijderd en wordt de ingesloten geheime verwijzing niet uit Azure Key Vault verwijderd. U moet het certificaatgeheim handmatig verwijderen uit de sleutelkluis.

Waarschuwing

Door de aangepaste resources SecretProviderClass en SecretSync rechtstreeks in uw Kubernetes-cluster te bewerken, kan de stroom van geheimen in Azure IoT Operations worden verstoord. Gebruik de web gebruikersinterface voor operationele ervaring voor alles wat met geheimen te maken heeft.

Voordat u een gesynchroniseerd geheim verwijdert, moet u ervoor zorgen dat alle verwijzingen naar het geheim uit Azure IoT Operations-onderdelen worden verwijderd.