在运营商关系中为托管凭据轮换设置 Key Vault

Azure 运营商关系利用机密和证书来管理组件的跨平台安全性。 运营商关系平台处理这些机密和证书的轮换。 默认情况下，运营商关系将凭据存储在托管的 Key Vault 中。 若要将轮换凭据保留在自己的 Key Vault 中，用户必须为 Azure 运营商关系实例设置 Key Vault。 创建后，用户需要在客户 Key Vault 上添加角色分配，以允许运营商关系平台编写更新的凭据，并额外将客户 Key Vault 链接到关系群集资源。

先决条件

• 安装最新版本的相应 CLI 扩展
• 获取客户订阅的订阅 ID

在关系群集上将凭据更新写入到客户 Key Vault

• 确保已向客户订阅注册 Microsoft.NetworkCloud 资源提供程序。

az provider register --namespace 'Microsoft.NetworkCloud' --subscription <Subscription ID>

• 分配运营商关系 Key Vault 编写器服务角色。 确保在“访问配置”视图上选择“Azure 基于角色的访问控制”作为 Key Vault 的权限模型。 然后在“访问控制(IAM)”视图中，选择以添加角色分配。

示例：

az role assignment create --assignee 05cf5e27-931d-47ad-826d-cb9028d8bd7a --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>

az role assignment create --assignee 3365d4ea-bb16-4bc9-86dd-f2c8cf6f1f56 --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>

• 用户将客户 Key Vault 与运营商关系群集相关联。 必须在群集中配置 Key Vault 资源 ID，并启用该 ID 以存储群集的机密。

示例：

# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"

# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive

有关更多帮助：

az networkcloud cluster update --secret-archive ?? --help