Operator Nexus でマネージド資格情報のローテーション用にキー コンテナーを設定する
Azure Operator Nexus では、シークレットと証明書を利用して、プラットフォーム全体のコンポーネント セキュリティを管理します。 Operator Nexus プラットフォームは、これらのシークレットと証明書のローテーションを処理します。 既定では、Operator Nexus は資格情報をマネージド キー コンテナーに格納します。 ローテーションされた資格情報をユーザー自身のキー コンテナーに保持するには、ユーザーは Azure Operator Nexus インスタンスのためのキー コンテナーを設定する必要があります。 作成後、ユーザーは、更新された資格情報の書き込み、さらに顧客キー コンテナーの Nexus クラスター リソースへのリンクがOperator Nexus Platform により可能になるように、カスタマー キー コンテナーにロールの割り当てを追加する必要があります。
前提条件
- 適切な CLI 拡張機能の最新バージョンをインストールする
- 顧客のサブスクリプションのサブスクリプション ID を取得する
Note
1 つのキー コンテナーを任意の数のクラスターに使用できます。
Nexus クラスター上の顧客キー コンテナーへの資格情報の更新の書き込み
- Microsoft.NetworkCloud リソース プロバイダーが顧客サブスクリプションに登録されていることを確認します。
az provider register --namespace 'Microsoft.NetworkCloud' --subscription <Subscription ID>
- オペレーター Nexus キー コンテナー ライター サービス ロールを割り当てます。 [Azure ロールベースのアクセス制御] が、[アクセス構成] ビュー上でキー コンテナーのアクセス許可モデルとして選択されていることを確認します。 次に、[アクセス制御 (IAM)] ビューで、ロールの割り当ての追加を選択します。
| Role Name | ロールの定義 ID |
|---|---|
| Operator Nexus キー コンテナー ライター サービス ロール (プレビュー) | 44f0a1a8-6fea-4b35-980a-8ff50c487c97 |
| 環境 | アプリ名 | アプリ ID |
|---|---|---|
| 実稼働 | AFOI-NC-RP-PME-PROD | 05cf5e27-931d-47ad-826d-cb9028d8bd7a |
| 実稼働 | AFOI-NC-MGMT-PME-PROD | 3365d4ea-bb16-4bc9-86dd-f2c8cf6f1f56 |
例:
az role assignment create --assignee 05cf5e27-931d-47ad-826d-cb9028d8bd7a --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>
az role assignment create --assignee 3365d4ea-bb16-4bc9-86dd-f2c8cf6f1f56 --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>
- ユーザーは、顧客キー コンテナーを Operator Nexus クラスターに関連付けます。 キー コンテナーのリソース ID は、クラスターで構成され、クラスターのシークレットを保存するために有効化されている必要があります。
例:
# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"
# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive
詳細については、以下を参照してください。
az networkcloud cluster update --secret-archive ?? --help
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示