Gerenciar segredos para sua implantação de Operações IoT do Azure
O Azure IoT Operations usa o Azure Key Vault como a solução de cofre gerenciado na nuvem e usa a extensão Azure Key Vault Secret Store para Kubernetes para sincronizar os segredos da nuvem e armazená-los na borda como segredos do Kubernetes.
Pré-requisitos
Uma instância de Operações IoT do Azure implantada com configurações seguras. Se você implantou o Azure IoT Operations com configurações de teste e agora deseja usar segredos, primeiro precisa habilitar as configurações seguras.
A criação de segredos no cofre de chaves requer permissões de oficial de segredos no nível de recurso. Para obter informações sobre como atribuir funções aos usuários, consulte Etapas para atribuir uma função do Azure.
Adicionar e usar segredos
O gerenciamento de segredos para Operações IoT do Azure usa a extensão Repositório Secreto para sincronizar os segredos de um Cofre de Chaves do Azure e armazená-los na borda como segredos do Kubernetes. Ao habilitar configurações seguras durante a implantação, você selecionou um Cofre de Chaves do Azure para gerenciamento de segredos. É neste Cofre da Chave que todos os segredos a serem usados nas Operações do Azure IoT são armazenados.
Nota
As instâncias de Operações IoT do Azure funcionam com apenas um Cofre de Chaves do Azure, não há suporte para vários cofres de chaves por instância.
Depois que as etapas de configuração de gerenciamento de segredos forem concluídas, você poderá começar a adicionar segredos ao Cofre de Chaves do Azure e sincronizá-los com a borda para serem usados em Pontos de Extremidade de Ativos ou Pontos de Extremidade de Fluxo de Dados usando a interface do usuário da Web da experiência de operações.
Os segredos são usados em pontos de extremidade de ativos e pontos de extremidade de fluxo de dados para autenticação. Nesta seção, usamos pontos de extremidade de ativos como exemplo, o mesmo pode ser aplicado a pontos de extremidade de fluxo de dados. Você tem a opção de criar diretamente o segredo no Cofre de Chaves do Azure e sincronizá-lo automaticamente até a borda ou usar uma referência de segredo existente do cofre de chaves:
Criar um novo segredo: cria uma referência secreta no Cofre de Chaves do Azure e também sincroniza automaticamente o segredo até a borda usando a extensão Repositório Secreto. Utilize esta opção se não tiver criado previamente o segredo necessário para este cenário no cofre de chaves.
Adicionar do Cofre de Chaves do Azure: sincroniza um segredo existente no cofre de chaves até a borda, caso não tenha sido sincronizado antes. Selecionar esta opção mostra a lista de referências secretas no cofre de chaves selecionado. Use esta opção se você criou o segredo no cofre de chaves antes.
Quando você adiciona as referências de nome de usuário e senha aos pontos de extremidade de ativo ou pontos de extremidade de fluxo de dados, você precisa dar um nome ao segredo sincronizado. As referências secretas serão salvas na borda com este nome próprio como um recurso. No exemplo da captura de tela abaixo, as referências de nome de usuário e senha são salvas na borda como edp1secrets.
Gerenciar segredos sincronizados
Você pode usar Gerenciar segredos para pontos de extremidade de ativos e pontos de extremidade de fluxo de dados para gerenciar segredos sincronizados. Gerenciar segredos mostra a lista de todos os segredos sincronizados atuais na borda do recurso que você está visualizando. Um segredo sincronizado representa uma ou várias referências secretas, dependendo do recurso que o utiliza. Qualquer operação aplicada a um segredo sincronizado será aplicada a todas as referências secretas contidas no segredo sincronizado.
Você também pode excluir segredos sincronizados em gerenciar segredos. Quando você exclui um segredo sincronizado, ele exclui apenas o segredo sincronizado da borda e não exclui a referência de segredo contida do cofre de chaves.
Nota
Antes de excluir um segredo sincronizado, verifique se todas as referências ao segredo dos componentes do Azure IoT Operations foram removidas.