你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure IoT 操作使用 Azure Key Vault 作为云端的托管保管库解决方案,同时使用 Kubernetes 的 Azure Key Vault 机密存储扩展将机密从云端同步下来并将其作为 Kubernetes 机密存储在边缘。
重要
遵循最佳做法来保护与 Azure IoT Operations 一起使用的 Azure Key Vault。 确保 Key Vault 的安全性对于保护机密至关重要。 有关如何保护 Azure Key Vault 的详细指南,请参阅 有关使用 Azure Key Vault 的最佳做法。
先决条件
一个使用安全设置部署的 Azure IoT 操作实例。 如果已使用测试设置部署了 Azure IoT 操作,而现在想要使用机密,则需先启用安全设置。
在密钥保险库中创建机密需要资源级别的“机密主管”权限。 有关向用户分配角色的信息,请参阅分配 Azure 角色的步骤。
添加和使用机密
Azure IoT 操作的机密管理使用机密存储扩展从 Azure Key Vault 同步机密并将其作为 Kubernetes 机密存储在边缘。 在部署期间启用安全设置时,你选择了 Azure Key Vault 进行机密管理。 要在 Azure IoT 操作中使用的所有机密都存储在这个 Key Vault 中。
注意
Azure IoT 操作实例仅与一个 Azure Key Vault 配合使用,不支持单个实例有多个密钥保管库。
设置机密管理步骤完成后,可以开始将机密添加到 Azure Key Vault,并使用作体验 Web UI 将其同步到 Kubernetes 群集,以在设备或数据流终结点中使用。
机密用于设备和数据流终结点进行身份验证。 本部分使用设备作为示例。 同一进程可以应用于数据流终结点。 可以选择直接在 Azure Key Vault 中创建机密,并将其自动同步到群集,或使用密钥保管库中的现有机密引用:
转到作体验 Web UI 中的“设备”页。
若要添加新的机密引用,请在创建新设备时选择 “添加引用 ”:
创建新机密:在 Azure Key Vault 中创建机密引用,并使用机密存储扩展自动将机密同步到群集。 如果事先没有在密钥保管库中创建此场景所需的机密,请使用此选项。
从 Azure Key Vault 添加:将密钥保管库中的现有机密同步到群集(如果之前未同步)。 选择此选项会显示所选密钥保管库中的机密引用列表。 如果事先在密钥保管库中创建了机密,请使用此选项。 仅将最新版本的机密同步到群集。
向设备或数据流终结点添加用户名和密码引用时,需要为同步的机密提供一个名称。 机密引用以此给定名称作为一个机密同步资源保存在群集中。 在以下示例的屏幕截图中,用户名和密码引用以 edp1secrets 的形式保存到群集。
管理同步的密钥
本部分使用设备作为示例。 同一进程可以应用于数据流终结点:
转到作体验 Web UI 中的“设备”页。
若要查看机密列表,请选择“ 管理证书和机密 ”,然后选择 “机密”:
可以使用“ 机密 ”页在设备和数据流终结点中查看同步的机密。 “机密”页会显示所查看资源边缘的所有当前同步机密的列表。 同步的机密代表一个或多个机密引用,具体取决于使用它的资源。 应用于已同步机密的任何操作都将应用于已同步机密中包含的所有机密引用。
还可以在 “机密 ”页中删除同步的机密。 删除同步的机密时,它只会从 Kubernetes 群集中删除同步的机密,并且不会从 Azure Key Vault 中删除包含的机密引用。 必须从密钥保管库中手动删除证书机密。
警告
直接编辑 Kubernetes 群集中的 SecretProviderClass 和 SecretSync 自定义资源可能会中断 Azure IoT 操作中的机密流。 对于与机密相关的任何操作,请使用操作体验 Web 界面。
在删除已同步的机密之前,请确保已从 Azure IoT 操作组件中移除对该机密的所有引用。