Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Em 29 de fevereiro de 2024, o recurso de certificados de conta do Lote do Azure será desativado. Saiba como migrar seus certificados em contas do Azure Batch usando o Azure Key Vault neste artigo.
Acerca da funcionalidade
Os certificados geralmente são necessários em vários cenários, como descriptografar um segredo, proteger canais de comunicação ou acessar outro serviço. Atualmente, o Azure Batch oferece duas maneiras de gerir certificados em pools do Batch. Você pode adicionar certificados a uma conta do Batch ou pode usar a extensão de VM do Azure Key Vault para gerenciar certificados em pools do Batch. Para pools Linux, a variável $AZ_BATCH_CERTIFICATES_DIR ambiente deixará de ser definida nem preenchida.
Fim do suporte ao recurso
O Azure Key Vault é o mecanismo padrão e recomendado para armazenar e acessar segredos e certificados no Azure com segurança. Portanto, em 29 de fevereiro de 2024, desativaremos o recurso de certificados de conta em lote no Azure Batch. A alternativa é usar a Extensão de VM do Azure Key Vault e uma identidade gerida atribuída pelo utilizador no pool para acessar e instalar certificados com segurança nos seus pools de Batch.
Depois que a funcionalidade de certificados no Azure Batch for desativada em 29 de fevereiro de 2024, um certificado no Batch não funcionará conforme o esperado. Após essa data, você não poderá mais adicionar certificados a uma conta de Lote ou vincular esses certificados a pools de Lotes. Os pools que continuam a usar esse recurso após essa data podem não se comportar como esperado, como atualizar referências de certificado ou a capacidade de instalar referências de certificado existentes.
Alternativa: Usar a extensão de VM do Azure Key Vault com identidade gerenciada atribuída pelo usuário ao pool
O Azure Key Vault é um serviço do Azure totalmente gerenciado que fornece acesso controlado para armazenar e gerenciar segredos, certificados, tokens e chaves. O Cofre de Chaves fornece segurança na camada de transporte, garantindo que qualquer fluxo de dados do cofre de chaves para o aplicativo cliente seja criptografado. O Azure Key Vault oferece uma maneira segura de armazenar informações de acesso essenciais e definir um controle de acesso refinado. Você pode gerenciar todos os segredos a partir de um painel. Escolha armazenar uma chave em HSMs (módulos de segurança de hardware) protegidos por software ou por hardware. Você também pode definir o Cofre da Chave para renovar certificados automaticamente.
Para obter um guia completo sobre como habilitar a Extensão de VM do Cofre da Chave do Azure com a Identidade Gerenciada Atribuída pelo Usuário do Pool, consulte Habilitar a rotação automática de certificados em um pool de lotes.
Perguntas frequentes
Os
CloudServiceConfigurationpools dão suporte à extensão de VM do Azure Key Vault e à identidade gerenciada em pools?N.º
CloudServiceConfigurationOs pools serão desativados na mesma data da desativação do certificado de conta do Azure Batch em 29 de fevereiro de 2024. Recomendamos que você migre paraVirtualMachineConfigurationpools antes dessa data em que poderá usar essas soluções.As contas em lote de alocação do pool de assinaturas de usuários dão suporte ao Azure Key Vault?
Sim. Você pode usar o mesmo Key Vault especificado com a sua conta do Batch para usar com os seus pools, mas o seu Key Vault usado para os certificados dos seus pools do Batch pode ser completamente separado.
São os pools Batch de Linux e Windows suportados com a extensão Key Vault VM?
É possível atualizar os pools existentes com uma extensão de VM do Key Vault?
Não, essas propriedades não podem ser atualizadas no pool. Você precisa recriar as piscinas.
Como faço para obter referências a certificados em Linux Batch Pools já que
$AZ_BATCH_CERTIFICATES_DIRserão removidos?A extensão Key Vault VM para Linux permite especificar o
certificateStoreLocation, que é um caminho absoluto para onde os certificados são armazenados. A extensão de VM do Cofre de Chaves terá como escopo os certificados instalados no local especificado com apenas privilégios de administrador (root). Você precisa certificar-se de que as suas tarefas são executadas com privilégios elevados para aceder a esses certificados por padrão, ou copiar os certificados para um local acessível e/ou ajustar os arquivos de certificado com modos de arquivo adequados. Você pode executar esses comandos como parte de uma tarefa de início elevada ou tarefa de preparação de trabalho.Como instalo
.cerficheiros que não contêm chaves privadas?O Key Vault não considera esses arquivos privilegiados, pois eles não contêm informações de chave privada. Você pode instalar
.cerarquivos usando um dos seguintes métodos. Use segredos do Cofre de Chaves com privilégios de acesso apropriados para a Identidade Gerida Atribuída ao Utilizador associada e busque o.cerarquivo como parte da sua tarefa inicial para instalar. Como alternativa, armazene o.cerarquivo como um Blob de Armazenamento do Azure e faça referência como um arquivo de recurso em lote em sua tarefa inicial a ser instalada.Como faço para acessar certificados instalados da extensão Key Vault para identidades de pool de usuários automáticos não administradores no nível de tarefa?
Os usuários automáticos de nível de tarefa são criados sob demanda e não podem ser predefinidos para especificação na
accountspropriedade na extensão de VM do Cofre de Chaves. Você precisará de um processo personalizado que exporte o certificado necessário para uma loja comumente acessível ou configure corretamente as ACLs para acesso por usuários automáticos ao nível da tarefa.Onde posso encontrar as práticas recomendadas para usar o Cofre da Chave do Azure?
Consulte as práticas recomendadas do Azure Key Vault.
Próximos passos
Para obter mais informações, consulte Controle de acesso ao certificado do Key Vault. Para obter mais informações sobre a funcionalidade de lote relacionada a essa migração, consulte Extensões do pool de lotes do Azure e Identidade gerenciada do pool de lotes do Azure.