Migrar certificados da conta do Lote para o Azure Key Vault
Em 29 de fevereiro de 2024, o recurso de certificados da conta do Lote do Azure será desativado. Saiba como migrar seus certificados em contas do Lote do Azure usando o Azure Key Vault neste artigo.
Sobre o recurso
Certificados costumam ser necessários em vários cenários, como descriptografar um segredo, proteger canais de comunicação ou acessar outro serviço. Atualmente, o Lote do Azure oferece duas maneiras de gerenciar certificados em pools do Lote. Você pode adicionar certificados a uma conta do Lote ou pode usar a extensão de VM do Azure Key Vault para gerenciar certificados em pools do Lote. Somente a funcionalidade de certificado em uma conta do Lote do Azure e a funcionalidade que ela estende aos pools do Lote por meio de CertificateReference para Adicionar Pool, Aplicar Patch ao Pool, Atualizar Propriedades e as referências correspondentes nas APIs Obter e Listar Pool estão sendo desativadas. Além disso, para pools do Linux, a variável de ambiente $AZ_BATCH_CERTIFICATES_DIR não será mais definida e preenchida.
Fim do suporte ao recurso
O Azure Key Vault é o mecanismo padrão recomendado para armazenar e acessar segredos e certificados em todo o Azure com segurança. Portanto, em 29 de fevereiro de 2024, desativaremos o recurso de certificados de conta do Lote no Lote do Azure. A alternativa é usar a Extensão de VM do Azure Key Vault e uma identidade gerenciada atribuída pelo usuário no pool para acessar e instalar certificados com segurança em seus pools do Lote.
Depois que o recurso de certificados no Lote do Azure for desativado em 29 de fevereiro de 2024, um certificado no Lote não funcionará conforme o esperado. Após essa data, você não poderá mais adicionar certificados a uma conta do Lote ou vincular esses certificados aos pools do Lote. Pools que continuarem usando esse recurso após essa data poderão não se comportar como esperado, por exemplo, atualizar referências de certificado ou a capacidade de instalar referências de certificado existentes.
Alternativa: usar a extensão de VM do Azure Key Vault com uma identidade gerenciada atribuída pelo usuário
O Azure Key Vault é um serviço do Azure totalmente gerenciado que fornece acesso controlado para armazenar e gerenciar segredos, certificados, tokens e chaves. O Key Vault fornece segurança na camada de transporte, garantindo que os fluxos de dados do cofre de chaves para o aplicativo cliente seja criptografado. O Azure Key Vault proporciona uma maneira segura de armazenar informações de acesso essenciais e definir o controle de acesso refinado. Você pode gerenciar todos os segredos de um painel. Opte por armazenar uma chave em HSMs (módulos de segurança de hardware) protegidos por software ou por hardware. Você também pode configurar o Key Vault para renovar certificados automaticamente.
Para obter um guia completo de como habilitar a Extensão de VM do Azure Key Vault com a Identidade Gerenciada atribuída pelo usuário do pool, consulte Habilitar a rotação automática de certificados em um pool do Lote.
Perguntas frequentes
Os pools
CloudServiceConfigurationdão suporte à extensão de VM do Azure Key Vault e à identidade gerenciada em pools?Não. Os pools
CloudServiceConfigurationserão desativados na mesma data em de desativação do certificado de conta do Lote do Azure, em 29 de fevereiro de 2024. Recomendamos que você migre para poolsVirtualMachineConfigurationantes dessa data, quando pode usar essas soluções.As contas do Lote de alocação do pool de assinaturas do usuário dão suporte ao Azure Key Vault?
Sim. Você pode usar o mesmo Key Vault especificado com sua conta do Lote para uso com seus pools, mas o Key Vault usado para certificados para seus pools do Lote pode ser totalmente separado.
Há suporte para pools do Lote do Linux e do Windows com a extensão de VM do Key Vault?
Você pode atualizar pools existentes com uma extensão de VM do Key Vault?
Não, essas propriedades não são atualizáveis no pool. Você precisa recriar pools.
Como obter referências a certificados em pools do Lote do Linux, já que
$AZ_BATCH_CERTIFICATES_DIRserão removidos?A extensão de VM do Key Vault para Linux permite que você especifique o
certificateStoreLocation, que é um caminho absoluto para o local em que o certificado será armazenado. A extensão de VM do Key Vault terá como escopo os certificados instalados no local especificado com apenas privilégios de superusuário (raiz). Você precisa garantir que suas tarefas tenham uma execução privilegiada para acessar esses certificados por padrão ou copiar os certificados para um arquivo de certificado acessível diretamente e/ou ajustar arquivos de certificado com modos de arquivo adequados. Você pode executar esses comandos como parte de uma tarefa inicial elevada ou tarefa de preparação de trabalho.Como instalar arquivos
.cerque não contêm chaves privadas?O Key Vault não considera esses arquivos privilegiados, pois eles não contêm informações de chave privada. Você pode instalar arquivos
.cerusando um dos métodos a seguir. Use segredos do Key Vault com privilégios de acesso apropriados para a identidade gerenciada atribuída pelo usuário associada e busque o arquivo.cercomo parte da tarefa inicial de instalação. Como alternativa, armazene o arquivo.cercomo um Azure Storage Blob e faça referência como um arquivo de recurso de Lote em sua tarefa inicial de instalação.Como acessar certificados instalados da extensão do Key Vault para identidades de pool de usuário automático não administrador de nível de tarefa?
Os usuários automáticos de nível de tarefa são criados sob demanda e não podem ser predefinidos para especificar na propriedade
accountsna extensão da VM do Key Vault. Você precisará de um processo personalizado que exporte o certificado necessário de forma adequada para um repositório ou ACLs comumente acessíveis para acesso por usuários automáticos no nível da tarefa.Onde posso encontrar as melhores práticas para usar o Azure Key Vault?
Consulte as Melhores práticas do Azure Key Vault.
Próximas etapas
Para obter mais informações, confira Controle de acesso ao certificado do Key Vault. Para obter mais informações sobre a funcionalidade do Lote relacionada a essa migração, consulte Extensões do Pool do Lote do Azure e Identidade Gerenciada do Pool do Lote do Azure.