管理 Azure IoT 操作部署的机密

Azure IoT 操作使用 Azure Key Vault 作为云端的托管保管库解决方案，同时使用 Kubernetes 的 Azure Key Vault 机密存储扩展将机密从云端同步下来并将其作为 Kubernetes 机密存储在边缘。 然后，连接器和数据流等边缘资源可以在连接到外部系统时使用这些机密进行身份验证。

先决条件

一个使用安全设置部署的 Azure IoT 操作实例。 如果已使用测试设置部署了 Azure IoT 操作，而现在想要使用机密，则需先启用安全设置。

配置 Azure Key Vault 权限

要使用操作经验在密钥保管库中创建机密，用户需要在 Azure 中的资源级别获得 Key Vault 机密管理员 权限。

在测试或开发环境中，使用以下步骤在部署 Azure IoT Operations 实例和 Azure Key Vault 实例的资源组级别向用户分配 Key Vault 机密管理员 角色：

1. 若要查找资源组的名称，请转到 操作体验 Web UI，转到 “实例”页并查找 Azure IoT 操作实例。 资源组名称显示在 “资源组 ”字段中。

2. 转到 Azure 门户 ，然后转到部署 Azure IoT作实例和 Azure Key Vault 实例的资源组。

   小窍门

   使用 Azure 门户顶部的搜索框通过键入名称快速查找资源组。

3. 从左侧菜单中选择 “访问控制”（IAM ）。 然后选择“ + 添加 > 添加角色分配”。

4. 在“ 角色 ”选项卡上，从角色列表中选择 Key Vault 机密官员 ，然后选择“ 下一步”。

5. 在“ 成员 ”选项卡上，选择 “用户”、“组”或服务主体，选择“ 选择成员”，选择要向其分配 Key Vault 机密官员 角色的用户，然后选择“ 下一步”。

6. 选择“查看 + 分配”以完成角色分配。

在生产环境中使用 Azure IoT 操作时，遵循最佳做法来保护你使用的 Azure Key Vault。 有关详细信息，请参阅 使用 Azure Key Vault 的最佳做法。

添加和使用机密

Azure IoT 操作的机密管理使用机密存储扩展从 Azure Key Vault 同步机密并将其作为 Kubernetes 机密存储在边缘。 在部署期间启用安全设置时，你选择了 Azure Key Vault 进行机密管理。 要在 Azure IoT 操作中使用的所有机密都存储在这个 Key Vault 中。

完成设置机密管理的步骤后，可以开始将机密添加到 Azure Key Vault，然后使用操作体验 Web UI 将其同步到要在“设备”或“数据流终结点”中使用的 Kubernetes 群集。

机密用于在设备和数据流终结点中进行身份验证。 本部分使用设备作为示例。 同一进程可以应用于数据流终结点。 可以选择直接在 Azure Key Vault 中创建机密，并将其自动同步到群集，或使用密钥保管库中的现有机密引用：

1. 前往操作体验 Web UI 中的“设备”页。

2. 若要添加新的机密引用，请在创建新设备时选择“添加引用”：

   

   • 创建新机密：在 Azure Key Vault 中创建机密引用，并使用机密存储扩展自动将机密同步到群集。 如果事先没有在密钥保管库中创建此场景所需的机密，请使用此选项。

   • 从 Azure Key Vault 添加：将密钥保管库中的现有机密同步到群集（如果之前未同步）。 选择此选项会显示所选密钥保管库中的机密引用列表。 如果事先在密钥保管库中创建了机密，请使用此选项。 仅将最新版本的机密同步到群集。

3. 将用户名和密码引用添加到设备或数据流终结点时，需要为同步的机密命名。 机密引用以此给定名称作为一个机密同步资源保存在群集中。 在以下示例的屏幕截图中，用户名和密码引用以 edp1secrets 的形式保存到群集。

   

管理同步的密钥

本部分使用设备作为示例。 同一进程可以应用于数据流终结点：

1. 前往操作体验 Web UI 中的“设备”页。

2. 若要查看机密列表，请选择“ 管理证书和机密 ”，然后选择 “机密”：

   

可以使用“机密”页查看设备和数据流终结点中已同步的机密。 “机密”页会显示所查看资源边缘的所有当前同步机密的列表。 同步的机密代表一个或多个机密引用，具体取决于使用它的资源。 应用于已同步机密的任何操作都将应用于已同步机密中包含的所有机密引用。

还可以在 “机密 ”页中删除同步的机密。 删除同步的机密时，它只会从 Kubernetes 群集中删除同步的机密，并且不会从 Azure Key Vault 中删除包含的机密引用。 必须从密钥保管库中手动删除证书机密。