Dela via

Hantera hemligheter för din Azure IoT Operations-distribution

Azure IoT Operations använder Azure Key Vault som lösning för hanterat valv i molnet och använder Azure Key Vault Secret Store-tillägget för Kubernetes för att synkronisera hemligheterna från molnet och lagra dem på gränsen som Kubernetes-hemligheter.

Viktigt!

Följ metodtipsen för att skydda Azure Key Vault som du använder med Azure IoT Operations. Det är viktigt att säkerställa säkerheten för ditt Key Vault för att skydda dina hemligheter. Detaljerad vägledning om hur du skyddar ditt Azure Key Vault finns i Metodtips för att använda Azure Key Vault.

Förutsättningar

  • En Azure IoT Operations-instans som distribuerats med säkra inställningar. Om du har distribuerat Azure IoT Operations med testinställningar och nu vill använda hemligheter måste du först aktivera säkra inställningar.

  • För att skapa hemligheter i nyckelvalvet krävs behörigheter för hemlighetsansvariga på resursnivå. Information om hur du tilldelar roller till användare finns i Steg för att tilldela en Azure-roll.

Lägga till och använda hemligheter

Hemlighetshantering för Azure IoT Operations använder Secret Store-tillägget för att synkronisera hemligheterna från ett Azure Key Vault och lagra dem på gränsen som Kubernetes-hemligheter. När du aktiverade säkra inställningar under distributionen valde du ett Azure Key Vault för hemlig hantering. Det är i det här Key Vault där alla hemligheter som ska användas i Azure IoT Operations lagras.

Kommentar

Azure IoT Operations-instanser fungerar bara med ett Azure Key Vault, flera nyckelvalv per instans stöds inte.

När stegen för att konfigurera hantering av hemligheter har slutförts kan du börja lägga till hemligheter i Azure Key Vault och synkronisera dem till Kubernetes-klustret som ska användas i enheter eller dataflödesslutpunkter med hjälp av webbgränssnittet för driftupplevelsen .

Hemligheter används i enheter och dataflödesslutpunkter för autentisering. I det här avsnittet används enheter som exempel. Samma process kan tillämpas på dataflödesslutpunkter. Du kan välja att skapa hemligheten direkt i Azure Key Vault och få den automatiskt synkroniserad ned till klustret eller använda en befintlig hemlig referens från nyckelvalvet:

  1. Gå till sidan Enheter i webbgränssnittet för driftupplevelse .

  2. Om du vill lägga till en ny hemlig referens väljer du Lägg till referens när du skapar en ny enhet:

    Skärmbild som visar alternativen Lägg till från Azure Key Vault och Skapa nya när du väljer en hemlighet i driftmiljön.

    • Skapa en ny hemlighet: Skapar en hemlig referens i Azure Key Vault och synkroniserar också hemligheten automatiskt ned till klustret med hjälp av Secret Store-tillägget. Använd det här alternativet om du inte skapade den hemlighet som du behöver för det här scenariot i nyckelvalvet i förväg.

    • Lägg till från Azure Key Vault: synkroniserar en befintlig hemlighet i nyckelvalvet ned till klustret om den inte synkroniserades tidigare. Om du väljer det här alternativet visas listan med hemliga referenser i det valda nyckelvalvet. Använd det här alternativet om du skapade hemligheten i nyckelvalvet i förväg. Endast den senaste versionen av hemligheten synkroniseras med klustret.

  3. När du lägger till användarnamns- och lösenordsreferenserna till enheterna eller dataflödesslutpunkterna måste du ge den synkroniserade hemligheten ett namn. De hemliga referenserna sparas i klustret med det angivna namnet som en hemlig synk-resurs. I exemplet från skärmbilden nedan sparas användarnamn- och lösenordsreferenserna i klustret som edp1secrets.

    Skärmbild som visar fältet synkroniserat hemligt namn när användarnamnets lösenord har valts för autentiseringsläge i driftsmiljön.

Hantera synkroniserade hemligheter

I det här avsnittet används enheter som exempel. Samma process kan tillämpas på dataflödesslutpunkter:

  1. Gå till sidan Enheter i webbgränssnittet för driftupplevelse .

  2. Om du vill visa listan med hemligheter väljer du Hantera certifikat och hemligheter och sedan Hemligheter:

    Skärmbild som visar listan över synkroniserade hemligheter på sidan med driftupplevelsehemligheter.

Du kan använda sidan Hemligheter för att visa synkroniserade hemligheter på dina enheter och dataflödesslutpunkter. Sidan Hemligheter visar listan över alla aktuella synkroniserade hemligheter vid gränsen för den resurs som du visar. En synkroniserad hemlighet representerar en eller flera hemliga referenser, beroende på vilken resurs som använder den. Alla åtgärder som tillämpas på en synkroniserad hemlighet tillämpas på alla hemliga referenser som finns i den synkroniserade hemligheten.

Du kan även ta bort synkroniserade hemligheter på sidan Hemligheter . När du tar bort en synkroniserad hemlighet tar den bara bort den synkroniserade hemligheten från Kubernetes-klustret och tar inte bort den inneslutna hemliga referensen från Azure Key Vault. Du måste ta bort certifikathemligheten manuellt från nyckelvalvet.

Varning

Direkt redigering av anpassade resurser för SecretProviderClass och SecretSync i ditt Kubernetes-kluster kan bryta hemlighetsflödet i Azure IoT Operations. Använd webbgränssnittet för driftupplevelse för alla åtgärder som rör hemligheter.

Innan du tar bort en synkroniserad hemlighet kontrollerar du att alla referenser till hemligheten från Azure IoT Operations-komponenter tas bort.