你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在运营商关系中为托管凭据轮换设置 Key Vault
Azure 运营商关系利用机密和证书来管理组件的跨平台安全性。 运营商关系平台处理这些机密和证书的轮换。 默认情况下,运营商关系将凭据存储在托管的 Key Vault 中。 若要将轮换凭据保留在自己的 Key Vault 中,用户必须为 Azure 运营商关系实例设置 Key Vault。 创建后,用户需要在客户 Key Vault 上添加角色分配,以允许运营商关系平台编写更新的凭据,并额外将客户 Key Vault 链接到关系群集资源。
先决条件
- 安装最新版本的相应 CLI 扩展
- 获取客户订阅的订阅 ID
注意
单个 Key Vault 可用于任意数量的群集。
在关系群集上将凭据更新写入到客户 Key Vault
- 确保已向客户订阅注册 Microsoft.NetworkCloud 资源提供程序。
az provider register --namespace 'Microsoft.NetworkCloud' --subscription <Subscription ID>
- 分配运营商关系 Key Vault 编写器服务角色。 确保在“访问配置”视图上选择“Azure 基于角色的访问控制”作为 Key Vault 的权限模型。 然后在“访问控制(IAM)”视图中,选择以添加角色分配。
角色名称 | 角色定义 ID |
---|---|
运营商关系 Key Vault 编写器服务角色(预览版) | 44f0a1a8-6fea-4b35-980a-8ff50c487c97 |
环境 | 应用名称 | 应用 ID |
---|---|---|
生产 | AFOI-NC-RP-PME-PROD | 05cf5e27-931d-47ad-826d-cb9028d8bd7a |
生产 | AFOI-NC-MGMT-PME-PROD | 3365d4ea-bb16-4bc9-86dd-f2c8cf6f1f56 |
示例:
az role assignment create --assignee 05cf5e27-931d-47ad-826d-cb9028d8bd7a --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>
az role assignment create --assignee 3365d4ea-bb16-4bc9-86dd-f2c8cf6f1f56 --role 44f0a1a8-6fea-4b35-980a-8ff50c487c97 --scope /subscriptions/<Subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.KeyVault/vaults/<Key Vault Name>
- 用户将客户 Key Vault 与运营商关系群集相关联。 必须在群集中配置 Key Vault 资源 ID,并启用该 ID 以存储群集的机密。
示例:
# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"
# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive
有关更多帮助:
az networkcloud cluster update --secret-archive ?? --help