Gerenciar segredos para sua implantação de Operações IoT do Azure

O Azure IoT Operations usa o Azure Key Vault como a solução de cofre gerenciado na nuvem e usa a extensão Azure Key Vault Secret Store para Kubernetes para sincronizar os segredos da nuvem e armazená-los na borda como segredos do Kubernetes. Recursos de borda, como conectores e fluxos de dados, podem então usar estes segredos para autenticação ao ligar-se a sistemas externos.

Pré-requisitos

Uma instância de Operações IoT do Azure implantada com configurações seguras. Se você implantou o Azure IoT Operations com configurações de teste e agora deseja usar segredos, primeiro precisa habilitar as configurações seguras.

Configurar permissões do Azure Key Vault

Para usar a experiência operacional para criar segredos no cofre de chaves, o utilizador necessita de permissões do Oficial de Segredos do Cofre de Chaves ao nível dos recursos no Azure.

Num ambiente de teste ou desenvolvimento, utilize os seguintes passos para atribuir o papel de Key Vault Secrets Officer ao seu utilizador ao nível do grupo de recursos onde as instâncias Azure IoT Operations e Azure Key Vault são implementadas:

1. Para encontrar o nome do grupo de recursos, vá à interface web da experiência operacional , vá à página Instâncias e encontre a sua instância Azure IoT Operations. O nome do grupo de recursos é mostrado no campo do grupo de recursos .

2. Vai ao portal Azure e depois ao grupo de recursos onde a tua instância Azure IoT Operations e Azure Key Vault estão implementadas.

   Sugestão

   Use a caixa de pesquisa no topo do portal Azure para encontrar rapidamente o grupo de recursos ao escrever o nome.

3. Selecione controlo de acesso (IAM) no menu esquerdo. Depois selecciona + Adicionar > Adicionar atribuição de função.

4. No separador Funções , selecione Oficial de Segredos do Cofre de Chaves da lista de funções e depois selecione Próximo.

5. No separador de Membros , selecione Utilizador, grupo ou principal de serviço, selecione Selecionar membros, selecione o utilizador a quem quer atribuir a função de Oficial de Segredos do Cofre de Chaves e, de seguida, selecione Próximo.

6. Selecione Rever + atribuir para concluir a atribuição de função.

Num ambiente de produção, siga as melhores práticas para proteger o Azure Key Vault que utiliza com o Azure IoT Operations. Para mais informações, consulte Melhores práticas para utilizar o Azure Key Vault.

Adicionar e usar segredos

O gerenciamento de segredos para Operações IoT do Azure usa a extensão Repositório Secreto para sincronizar os segredos de um Cofre de Chaves do Azure e armazená-los na borda como segredos do Kubernetes. Ao habilitar configurações seguras durante a implantação, você selecionou um Cofre de Chaves do Azure para gerenciamento de segredos. É neste Cofre da Chave que todos os segredos a serem usados nas Operações do Azure IoT são armazenados.

Depois que as etapas de configuração de gerenciamento de segredos forem concluídas, poderá começar a adicionar segredos ao Cofre de Chaves do Azure e sincronizá-los com o cluster do Kubernetes para uso em Dispositivos ou Pontos de extremidade de fluxo de dados usando a interface web da experiência de operações.

Os segredos são usados em dispositivos e extremidades de fluxo de dados para autenticação. Esta seção usa dispositivos como exemplo. O mesmo processo pode ser aplicado a pontos de extremidade de fluxo de dados. Você tem a opção de criar diretamente o segredo no Cofre de Chaves do Azure e sincronizá-lo automaticamente com o cluster ou usar uma referência de segredo existente do cofre de chaves:

1. Vá para a página Dispositivos na interface web do utilizador da experiência operacional.

2. Para adicionar uma nova referência secreta, selecione Adicionar referência ao criar um novo dispositivo:

   

   • Criar um novo segredo: cria uma referência secreta no Cofre de Chaves do Azure e também sincroniza automaticamente o segredo com o cluster usando a extensão Repositório Secreto. Utilize esta opção se não tiver criado previamente o segredo necessário para este cenário no cofre de chaves.

   • Adicionar do Cofre de Chaves do Azure: sincroniza um segredo existente no cofre de chaves para o cluster se ele não tiver sido sincronizado antes. Selecionar esta opção mostra a lista de referências secretas no cofre de chaves selecionado. Utilize esta opção se criou o segredo no cofre de chaves previamente. Apenas a versão mais recente do segredo é sincronizada com o cluster.

3. Quando se adicionam as referências de nome de utilizador e senha aos dispositivos ou aos pontos de terminação do fluxo de dados, é necessário dar um nome ao segredo sincronizado. As referências secretas são salvas no cluster com esse nome próprio como um recurso de sincronização secreto. No exemplo da captura de tela abaixo, as referências de nome de usuário e senha são salvas no cluster como edp1secrets.

   

Gerenciar segredos sincronizados

Esta seção usa dispositivos como exemplo. O mesmo processo pode ser aplicado a pontos de extremidade de fluxo de dados.

1. Vá para a página Dispositivos na interface web do utilizador da experiência operacional.

2. Para exibir a lista de segredos, selecione Gerenciar certificados e segredos e, em seguida, Segredos:

   

Você pode usar a página Segredos para ver segredos sincronizados nos seus dispositivos e endpoints de fluxo de dados. A página Segredos mostra a lista de todos os segredos sincronizados atuais na borda do recurso que você está visualizando. Um segredo sincronizado representa uma ou várias referências secretas, dependendo do recurso que o utiliza. Qualquer operação aplicada a um segredo sincronizado será aplicada a todas as referências secretas contidas no segredo sincronizado.

Você também pode excluir segredos sincronizados na página Segredos . Quando você exclui um segredo sincronizado, ele exclui apenas o segredo sincronizado do cluster do Kubernetes e não exclui a referência de segredo contida do Cofre de Chaves do Azure. Você deve excluir o segredo do certificado manualmente do cofre de chaves.