Gestire i segreti per la distribuzione di Azure IoT Operations

Le operazioni di Azure IoT usano Azure Key Vault come soluzione di insieme di credenziali gestite nel cloud e usano l'estensione dell'archivio segreti di Azure Key Vault per Kubernetes per sincronizzare i segreti dal cloud e archiviarli nel cloud come segreti Kubernetes.

Prerequisiti

• Un'istanza di Azure IoT Operations distribuita con impostazioni sicure. Se sono state distribuite le operazioni IoT di Azure con le impostazioni di test e si vogliono usare i segreti, è necessario abilitare prima le impostazioni sicure.

• La creazione di segreti nell'insieme di credenziali delle chiavi richiede le autorizzazioni del responsabile dei segreti a livello di risorsa. Per informazioni sull'assegnazione dei ruoli agli utenti, vedere Passaggi per assegnare un ruolo di Azure.

Aggiungere e usare segreti

La gestione dei segreti per le operazioni di Azure IoT usa l'estensione Dell'archivio segreti per sincronizzare i segreti da un insieme di credenziali delle chiavi di Azure e archiviarli nel perimetro come segreti Kubernetes. Quando sono state abilitate le impostazioni di protezione durante la distribuzione, è stato selezionato un insieme di credenziali delle chiavi di Azure per la gestione dei segreti. Si trova in questo insieme di credenziali delle chiavi in cui vengono archiviati tutti i segreti da usare nelle operazioni IoT di Azure.

Dopo aver completato i passaggi di configurazione della gestione dei segreti, è possibile iniziare ad aggiungere segreti ad Azure Key Vault e sincronizzarli con il perimetro da usare negli endpoint degli asset o negli endpoint del flusso di dati usando l'interfaccia utente Web dell'esperienza operativa.

I segreti vengono usati negli endpoint degli asset e negli endpoint del flusso di dati per l'autenticazione. In questa sezione vengono usati gli endpoint degli asset come esempio, lo stesso può essere applicato agli endpoint del flusso di dati. È possibile creare direttamente il segreto in Azure Key Vault e sincronizzarlo automaticamente con il perimetro oppure usare un riferimento segreto esistente dall'insieme di credenziali delle chiavi:

• Creare un nuovo segreto: crea un riferimento segreto nell'insieme di credenziali delle chiavi di Azure e sincronizza automaticamente il segreto fino al perimetro usando l'estensione Dell'archivio segreti. Usare questa opzione se in precedenza non è stato creato il segreto necessario per questo scenario nell'insieme di credenziali delle chiavi.

• Aggiunta da Azure Key Vault: sincronizza un segreto esistente nell'insieme di credenziali delle chiavi fino al perimetro se non è stato sincronizzato in precedenza. Se si seleziona questa opzione, viene visualizzato l'elenco dei riferimenti ai segreti nell'insieme di credenziali delle chiavi selezionato. Usare questa opzione se il segreto è stato creato in anticipo nell'insieme di credenziali delle chiavi.

Quando si aggiungono i riferimenti a nome utente e password agli endpoint di asset o agli endpoint del flusso di dati, è necessario assegnare un nome al segreto sincronizzato. I riferimenti al segreto verranno salvati nel bordo con questo nome specificato come una risorsa. Nell'esempio riportato nello screenshot seguente i riferimenti a nome utente e password vengono salvati nel bordo come edp1secrets.

Gestire i segreti sincronizzati

È possibile usare Manage secrets for asset endpoints and dataflow endpoints to manage synchronized secrets .You can use Manage secrets for asset endpoints and dataflow endpoints to manage synchronized secrets. Gestisci segreti visualizza l'elenco di tutti i segreti sincronizzati correnti nel perimetro della risorsa visualizzata. Un segreto sincronizzato rappresenta uno o più riferimenti segreti, a seconda della risorsa che la usa. Qualsiasi operazione applicata a un segreto sincronizzato verrà applicata a tutti i riferimenti segreti contenuti nel segreto sincronizzato.

È possibile eliminare anche i segreti sincronizzati nella gestione dei segreti. Quando si elimina un segreto sincronizzato, elimina solo il segreto sincronizzato dal perimetro e non elimina il riferimento segreto contenuto dall'insieme di credenziali delle chiavi.