共用方式為


在 Azure Kubernetes Service (AKS) 中將您的 Azure 識別提供者連線到 Azure Key Vault 祕密存放區 CSI 驅動程式

Azure Kubernetes Service (AKS) 上的祕密存放區容器儲存體介面 (CSI) 驅動程式會提供各種以身分識別為基礎來存取您 Azure Key Vault 的方法。 本文針對使用角色型存取控制 (RBAC) 或 OpenID Connect (OIDC) 安全性模型來存取金鑰保存庫和 AKS 叢集的時機,概述這些方法與最佳做法。

您可以使用下列其中一種存取方法:

  • 具有受控識別的服務連接器
  • 工作負載 ID
  • 使用者指派的受控識別

瞭解如何使用服務連接器,使用 Azure Kubernetes Service (AKS) 叢集中的秘密存放區 CSI 驅動程式連線到 Azure 金鑰保存庫。 在本文中,您會完成下列工作:

  • 建立 AKS 叢集和 Azure Key Vault。
  • 使用服務連接器在 AKS 叢集與 Azure Key Vault 之間建立連線。
  • 建立 SecretProviderClass CRD,並使用 Pod CSI 提供者來測試連線。
  • 清除資源。

重要

AKS 預覽功能可透過自助服務,以加入方式使用。 預覽會以「現狀」和「可供使用時」提供,其其不受服務等級協定和有限瑕疵擔保所保護。 客戶支援部門會盡最大努力,部分支援 AKS 預覽。 因此,這些功能不適合實際執行用途。 如需詳細資訊,請參閱下列支援文章:

必要條件

初始設定

  1. 如果您是第一次使用服務連接器,請先執行命令 az provider register 來註冊服務連接器和 Kubernetes Configuration 資源提供者。

    az provider register -n Microsoft.ServiceLinker
    
    az provider register -n Microsoft.KubernetesConfiguration
    

    提示

    您可以執行命令 az provider show -n "Microsoft.ServiceLinker" --query registrationStateaz provider show -n "Microsoft.KubernetesConfiguration" --query registrationState 來檢查這些資源提供者是否已註冊。

  2. 選擇性地使用 Azure CLI 命令來取得 AKS 叢集支援目標服務的清單。

    az aks connection list-support-types --output table
    

建立 Azure 資源

  1. 使用 az group create 命令建立資源群組。

    az group create \
        --name <resource-group-name> \
        --location <location>
    
  2. 使用 az aks create 命令建立 AKS 叢集。 下列範例會建立已啟用受控識別的單一節點 AKS 叢集。

    az aks create \
        --resource-group <resource-group-name> \
        --name <cluster-name> \
        --enable-managed-identity \
        --node-count 1
    
  3. 使用 az aks get-credentials 命令連接到叢集。

    az aks get-credentials \
        --resource-group <resource-group-name> \
        --name <cluster-name>
    
  4. 使用 az keyvault create 命令建立 Azure 金鑰保存庫。

    az keyvault create \
        --resource-group <resource-group-name> \  
        --name <key-vault-name> \
        --location <location>
    
  5. 使用 az keyvault secret set 命令在金鑰保存庫中建立秘密。

    az keyvault secret set \
        --vault-name <key-vault-name> \
        --name <secret-name> \
        --value <secret-value>
    

使用服務連接器在 AKS 中建立服務連線 (預覽)

您可以使用 Azure 入口網站 或 Azure CLI 來建立 Azure 金鑰保存庫 的服務連線。

  1. 在 Azure 入口網站中,瀏覽至您的 AKS 叢集資源。

  2. 從 [服務] 功能表的 [設定] 底下,選取 [服務連接器 [預覽]> [建立]。

  3. 在 [建立連線] 頁面上,於 [基本] 索引卷標中設定下列設定:

    • [Kube 命名空間]:選取 [預設]
    • 服務類型:選取 [金鑰保存庫],然後選取複選框以啟用 Azure 金鑰保存庫 CSI 提供者。
    • 線上名稱:輸入連線的名稱。
    • 用帳戶:選取包含密鑰保存庫的訂用帳戶。
    • 金鑰保存庫:選取您建立的金鑰保存庫。
    • 用戶端類型:選取 [無]。
  4. 選取 [ 檢閱 + 建立],然後選取 [ 建立 ] 以建立連線。

測試連線

複製範例存放庫並部署指令清單檔案

  1. 使用 命令複製範例存放 git clone 庫。

    git clone https://github.com/Azure-Samples/serviceconnector-aks-samples.git
    
  2. 將目錄變更為 Azure 金鑰保存庫 CSI 提供者範例。

    cd serviceconnector-aks-samples/azure-keyvault-csi-provider
    
  3. 在 檔案中secret_provider_class.yaml,將下列佔位符取代為您的 Azure 金鑰保存庫 資訊:

    • 將取代 <AZURE_KEYVAULT_NAME> 為您建立和連線的金鑰保存庫名稱。
    • 以金鑰保存庫的租用戶識別碼取代 <AZURE_KEYVAULT_TENANTID>
    • azureKeyvaultSecretsProvider 附加元件的身分識別用戶端識別碼取代 <AZURE_KEYVAULT_CLIENTID>
    • 將取代 <KEYVAULT_SECRET_NAME> 為您建立的金鑰保存庫秘密。 例如: ExampleSecret
  4. 使用 kubectl apply 命令部署 SecretProviderClass CRD。

    kubectl apply -f secret_provider_class.yaml
    
  5. 使用 kubectl apply 命令部署Pod指令清單檔案。

    命令會在 AKS 叢集的預設命名空間中建立名為 sc-demo-keyvault-csi 的 Pod。

    kubectl apply -f pod.yaml
    

驗證連線

  1. 使用 命令確認 kubectl get 已成功建立Pod。

    kubectl get pod/sc-demo-keyvault-csi
    

    Pod 啟動之後,便可使用您在部署 YAML 中指定的磁碟區路徑上掛接的內容。

  2. 使用 kubectl exec 命令顯示秘密存放區中保留的秘密。

    kubectl exec sc-demo-keyvault-csi -- ls /mnt/secrets-store/
    
  3. 使用 kubectl exec 命令顯示秘密。

    這個範例命令會顯示名為 ExampleSecret的測試秘密。

    kubectl exec sc-demo-keyvault-csi -- cat /mnt/secrets-store/ExampleSecret
    

CSI 驅動程式的必要條件

使用 Microsoft Entra 工作負載 ID 進行存取

Microsoft Entra 工作負載 ID (部分機器翻譯) 是在 Pod 上執行的應用程式用來向其他 Azure 服務 (例如,軟體中的工作負載) 驗證本身的身分識別。 祕密存放區 CSI 驅動程式會與原生的 Kubernetes 功能整合,以與外部識別提供者同盟。

在此安全性模型中,AKS 叢集會作為權杖簽發者。 接著,Microsoft Entra ID 會使用 OIDC 來探索公開簽署金鑰,並驗證服務帳戶權杖的真實性,然後將其交換為 Microsoft Entra 權杖。 為了讓您的工作負載可將投影到其磁碟區的服務帳戶權杖交換為 Microsoft Entra 權杖,您需要 Azure SDK 或 Microsoft 驗證程式庫 (MSAL) 中的 Azure 身分識別用戶端程式庫

注意

  • 此驗證方法會取代 Microsoft Entra Pod 受控識別 (預覽版)。 Azure Kubernetes Service 中的開放原始碼 Microsoft Entra Pod 受控識別 (預覽版) 已於 2022 年 10 月 24 日起停用。
  • Microsoft Entra 工作負載 ID 同時支援 Windows 和 Linux 叢集。

設定工作負載身分識別

  1. 使用 az account set (部分機器翻譯) 命令來設定您的訂用帳戶。

    export SUBSCRIPTION_ID=<subscription id>
    export RESOURCE_GROUP=<resource group name>
    export UAMI=<name for user assigned identity>
    export KEYVAULT_NAME=<existing keyvault name>
    export CLUSTER_NAME=<aks cluster name>
    
    az account set --subscription $SUBSCRIPTION_ID
    
  2. 使用 az identity create (部分機器翻譯) 命令來建立受控識別。

    注意

    此步驟假設您有已啟用工作負載身分識別的現有 AKS 叢集。 如果您沒有啟用它,請參閱 在現有的 AKS 叢集 上啟用工作負載身分識別以啟用它。

    az identity create --name $UAMI --resource-group $RESOURCE_GROUP
    
    export USER_ASSIGNED_CLIENT_ID="$(az identity show --resource-group $RESOURCE_GROUP --name $UAMI --query 'clientId' -o tsv)"
    export IDENTITY_TENANT=$(az aks show --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --query identity.tenantId -o tsv)
    
  3. 使用 az role assignment create (部分機器翻譯) 命令來建立角色指派,以授與工作負載身分識別權限來存取金鑰保存庫祕密、存取金鑰和憑證。

    重要

    • 如果以 --enable-rbac-authorization 設定您的金鑰保存庫,且您使用的是 keycertificate 類型,請指派 Key Vault Certificate User 角色以賦予權限。
    • 如果以 --enable-rbac-authorization 設定您的金鑰保存庫,且您使用的是 secret 類型,請指派 Key Vault Secrets User 角色。
    • 如果以 --enable-rbac-authorization 設定您的金鑰保存庫,您可使用 az keyvault set-policy 命令搭配 --key-permissions get--certificate-permissions get--secret-permissions get 參數來建立金鑰保存庫原則,以授與金鑰、憑證或秘密的存取權。 例如:
    az keyvault set-policy --name $KEYVAULT_NAME --key-permissions get --object-id $IDENTITY_OBJECT_ID
    
    export KEYVAULT_SCOPE=$(az keyvault show --name $KEYVAULT_NAME --query id -o tsv)
    
    # Example command for key vault with RBAC enabled using `key` type
    az role assignment create --role "Key Vault Certificate User" --assignee $USER_ASSIGNED_CLIENT_ID --scope $KEYVAULT_SCOPE
    
  4. 使用 az aks show (部分機器翻譯) 命令來取得 AKS 叢集 OIDC 簽發者 URL。

    注意

    此步驟假設您目前具有已啟用 OIDC 簽發者 URL 的 AKS 叢集。 如果您尚未啟用,請參閱使用 OIDC 簽發者更新 AKS 叢集 (部分機器翻譯) 來加以啟用。

    export AKS_OIDC_ISSUER="$(az aks show --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --query "oidcIssuerProfile.issuerUrl" -o tsv)"
    echo $AKS_OIDC_ISSUER
    
  5. 建立 Microsoft Entra 應用程式、服務帳戶簽發者和主體之間的同盟身分識別認證。 使用下列命令來取得 Microsoft Entra 應用程式的物件識別碼。 確認會使用 Kubernetes 服務帳戶名稱和其命名空間來更新 serviceAccountNameserviceAccountNamespace 的值。

    export SERVICE_ACCOUNT_NAME="workload-identity-sa"  # sample name; can be changed
    export SERVICE_ACCOUNT_NAMESPACE="default" # can be changed to namespace of your workload
    
    cat <<EOF | kubectl apply -f -
    apiVersion: v1
    kind: ServiceAccount
    metadata:
      annotations:
        azure.workload.identity/client-id: ${USER_ASSIGNED_CLIENT_ID}
      name: ${SERVICE_ACCOUNT_NAME}
      namespace: ${SERVICE_ACCOUNT_NAMESPACE}
    EOF
    
  6. 使用 az identity federated-credential create (部分機器翻譯) 命令,在受控識別、服務帳戶簽發者和主體之間建立同盟身分識別認證。

    export FEDERATED_IDENTITY_NAME="aksfederatedidentity" # can be changed as needed
    
    az identity federated-credential create --name $FEDERATED_IDENTITY_NAME --identity-name $UAMI --resource-group $RESOURCE_GROUP --issuer ${AKS_OIDC_ISSUER} --subject system:serviceaccount:${SERVICE_ACCOUNT_NAMESPACE}:${SERVICE_ACCOUNT_NAME}
    
  7. 使用 kubectl apply 命令和下列 YAML 指令碼來部署 SecretProviderClass

    cat <<EOF | kubectl apply -f -
    # This is a SecretProviderClass example using workload identity to access your key vault
    apiVersion: secrets-store.csi.x-k8s.io/v1
    kind: SecretProviderClass
    metadata:
      name: azure-kvname-wi # needs to be unique per namespace
    spec:
      provider: azure
      parameters:
        usePodIdentity: "false"
        clientID: "${USER_ASSIGNED_CLIENT_ID}" # Setting this to use workload identity
        keyvaultName: ${KEYVAULT_NAME}       # Set to the name of your key vault
        cloudName: ""                         # [OPTIONAL for Azure] if not provided, the Azure environment defaults to AzurePublicCloud
        objects:  |
          array:
            - |
              objectName: secret1             # Set to the name of your secret
              objectType: secret              # object types: secret, key, or cert
              objectVersion: ""               # [OPTIONAL] object versions, default to latest if empty
            - |
              objectName: key1                # Set to the name of your key
              objectType: key
              objectVersion: ""
        tenantId: "${IDENTITY_TENANT}"        # The tenant ID of the key vault
    EOF
    

    注意

    如果您使用 objectAlias 而不是 objectName,請先更新 YAML 指令碼後再加以考慮。

    注意

    若要讓 SecretProviderClass 正常運作,請務必先使用秘密、金鑰或憑證填入 Azure Key Vault,然後在 objects 區段中參考它們。

  8. 使用 kubectl apply 命令及下列 YAML 指令碼來部署範例 Pod。

    cat <<EOF | kubectl apply -f -
    # This is a sample pod definition for using SecretProviderClass and workload identity to access your key vault
    kind: Pod
    apiVersion: v1
    metadata:
      name: busybox-secrets-store-inline-wi
      labels:
        azure.workload.identity/use: "true"
    spec:
      serviceAccountName: "workload-identity-sa"
      containers:
        - name: busybox
          image: registry.k8s.io/e2e-test-images/busybox:1.29-4
          command:
            - "/bin/sleep"
            - "10000"
          volumeMounts:
          - name: secrets-store01-inline
            mountPath: "/mnt/secrets-store"
            readOnly: true
      volumes:
        - name: secrets-store01-inline
          csi:
            driver: secrets-store.csi.k8s.io
            readOnly: true
            volumeAttributes:
              secretProviderClass: "azure-kvname-wi"
    EOF
    

CSI 驅動程式的必要條件

使用受控識別進行存取

Microsoft Entra 受控 ID (部分機器翻譯) 是系統管理員用來向其他 Azure 服務驗證自己的身分識別。 受控識別使用 RBAC 來與外部識別提供者同盟。

在此安全性模型中,您可以將叢集資源的存取權授與共用受控角色的小組成員或租用戶。 系統是根據存取金鑰保存庫和其他認證的範圍來檢查該角色。 當您在 AKS 叢集上啟用適用於祕密存放區 CSI 驅動程式的 Azure Key Vault 提供者 (部分機器翻譯) 時,即會建立使用者身分識別。

設定受控身分識別

  1. 使用 az aks show (部分機器翻譯) 命令和附加元件所建立之使用者指派的受控識別來存取金鑰保存庫。 您也應該擷取身分識別的 clientId,您將在稍後的步驟中用來建立 SecretProviderClass

    az aks show --resource-group <resource-group> --name <cluster-name> --query addonProfiles.azureKeyvaultSecretsProvider.identity.objectId -o tsv
    az aks show --resource-group <resource-group> --name <cluster-name> --query addonProfiles.azureKeyvaultSecretsProvider.identity.clientId -o tsv
    

    或者,您可以使用下列命令來建立新的受控識別,並將其指派給虛擬機器 (VM) 擴展集或可用性設定組中的每個 VM 執行個體。

    az identity create --resource-group <resource-group> --name <identity-name>
    az vmss identity assign --resource-group <resource-group> --name <agent-pool-vmss> --identities <identity-resource-id>
    az vm identity assign --resource-group <resource-group> --name <agent-pool-vm> --identities <identity-resource-id>
    
    az identity show --resource-group <resource-group> --name <identity-name> --query 'clientId' -o tsv
    
  2. 使用 az role assignment create (部分機器翻譯) 命令來建立角色指派,以授與身分識別權限來存取金鑰保存庫祕密、存取金鑰和憑證。

    重要

    • 如果以 --enable-rbac-authorization 設定您的金鑰保存庫,且您使用的是 keycertificate 類型,請指派 Key Vault Certificate User 角色。
    • 如果以 --enable-rbac-authorization 設定您的金鑰保存庫,且您使用的是 secret 類型,請指派 Key Vault Secrets User 角色。
    • 如果以 --enable-rbac-authorization 設定您的金鑰保存庫,您可使用 az keyvault set-policy 命令搭配 --key-permissions get--certificate-permissions get--secret-permissions get 參數來建立金鑰保存庫原則,以授與金鑰、憑證或秘密的存取權。 例如:
    az keyvault set-policy --name $KEYVAULT_NAME --key-permissions get --object-id $IDENTITY_OBJECT_ID
    
    export IDENTITY_OBJECT_ID="$(az identity show --resource-group <resource-group> --name <identity-name> --query 'principalId' -o tsv)"
    export KEYVAULT_SCOPE=$(az keyvault show --name <key-vault-name> --query id -o tsv)
    
    # Example command for key vault with RBAC enabled using `key` type
    az role assignment create --role "Key Vault Certificate User" --assignee $USER_ASSIGNED_CLIENT_ID --scope $KEYVAULT_SCOPE
    
  3. 使用下列 YAML 來建立 SecretProviderClass。 確認您會針對 userAssignedIdentityIDkeyvaultNametenantId,以及從金鑰保存庫擷取的物件使用自己的值。

    # This is a SecretProviderClass example using user-assigned identity to access your key vault
    apiVersion: secrets-store.csi.x-k8s.io/v1
    kind: SecretProviderClass
    metadata:
      name: azure-kvname-user-msi
    spec:
      provider: azure
      parameters:
        usePodIdentity: "false"
        useVMManagedIdentity: "true"          # Set to true for using managed identity
        userAssignedIdentityID: <client-id>   # Set the clientID of the user-assigned managed identity to use
        keyvaultName: <key-vault-name>        # Set to the name of your key vault
        cloudName: ""                         # [OPTIONAL for Azure] if not provided, the Azure environment defaults to AzurePublicCloud
        objects:  |
          array:
            - |
              objectName: secret1
              objectType: secret              # object types: secret, key, or cert
              objectVersion: ""               # [OPTIONAL] object versions, default to latest if empty
            - |
              objectName: key1
              objectType: key
              objectVersion: ""
        tenantId: <tenant-id>                 # The tenant ID of the key vault
    

    注意

    如果您使用 objectAlias 而不是 objectName,請確認會更新 YAML 指令碼。

    注意

    若要讓 SecretProviderClass 正常運作,請務必先使用秘密、金鑰或憑證填入 Azure Key Vault,然後在 objects 區段中參考它們。

  4. 使用 kubectl apply 命令,將 SecretProviderClass 套用至您的叢集。

    kubectl apply -f secretproviderclass.yaml
    
  5. 使用下列 YAML 建立 Pod。

    # This is a sample pod definition for using SecretProviderClass and the user-assigned identity to access your key vault
    kind: Pod
    apiVersion: v1
    metadata:
      name: busybox-secrets-store-inline-user-msi
    spec:
      containers:
        - name: busybox
          image: registry.k8s.io/e2e-test-images/busybox:1.29-4
          command:
            - "/bin/sleep"
            - "10000"
          volumeMounts:
          - name: secrets-store01-inline
            mountPath: "/mnt/secrets-store"
            readOnly: true
      volumes:
        - name: secrets-store01-inline
          csi:
            driver: secrets-store.csi.k8s.io
            readOnly: true
            volumeAttributes:
              secretProviderClass: "azure-kvname-user-msi"
    
  6. 使用 kubectl apply 命令,將 Pod 套用至您的叢集。

    kubectl apply -f pod.yaml
    

驗證 Key Vault 祕密

Pod 啟動之後,便可使用您在部署 YAML 中指定的磁碟區路徑上掛接的內容。 使用下列命令來驗證您的祕密,並列印測試祕密。

  1. 使用下列命令來顯示祕密存放區中保存的祕密。

    kubectl exec busybox-secrets-store-inline-user-msi -- ls /mnt/secrets-store/
    
  2. 使用下列命令來顯示存放區中的祕密。 此範例命令會顯示測試祕密 ExampleSecret

    kubectl exec busybox-secrets-store-inline-user-msi -- cat /mnt/secrets-store/ExampleSecret
    

取得憑證與金鑰

Azure Key Vault 設計會區分金鑰、秘密和憑證。 Key Vault 服務的憑證功能是設計來使用金鑰和祕密功能。 當您建立金鑰保存庫憑證時,其會以相同名稱建立可定址的金鑰和祕密。 此金鑰允許驗證作業,而祕密允許擷取憑證值作為祕密。

Key Vault 憑證也會包含公用 x509 憑證的中繼資料。 Key Vault 會將憑證的公開和私人元件儲存在秘密中。 您可以藉由在 SecretProviderClass 中指定 objectType 來取得每個個別元件。 下表顯示哪些物件會對應至與憑證相關聯的各種資源:

Object 傳回值 傳回整個憑證鏈結
key 隱私增強郵件 (PEM) 格式的公開金鑰。 N/A
cert PEM 格式的憑證。 No
secret PEM 格式的私密金鑰和憑證。 Yes

停用現有叢集上的附加元件

注意

停用附加元件之前,請確定「沒有」使用中的 SecretProviderClass。 若嘗試在 SecretProviderClass 存在時停用附加元件,則會導致錯誤。

  • 在現有的叢集中,使用 az aks disable-addons (部分機器翻譯) 命令搭配 azure-keyvault-secrets-provider 附加元件,停用適用於祕密存放區 CSI 驅動程式的 Azure Key Vault 提供者功能。

    az aks disable-addons --addons azure-keyvault-secrets-provider --resource-group myResourceGroup --name myAKSCluster
    

注意

如果您停用附加元件,則現有的工作負載應該不會有任何問題或在掛接的祕密中看到任何更新。 進行 Pod 擴大期間,若 Pod 重新啟動或建立新的 Pod,Pod 將因驅動程式不再執行而無法啟動。

下一步

在本文中,您已了解如何建立並提供身分識別來存取 Azure Key Vault。 服務連接器整合有助於簡化 AKS 工作負載和 Azure 備份服務的連線設定。 其會安全地處理驗證和網路設定,並遵循連線至 Azure 服務的最佳做法。 如需詳細資訊,請參閱在 AKS 叢集中使用適用於秘密存放區 CSI 驅動程式的 Azure Key Vault 提供者服務連接器簡介

如果您想要設定額外的設定選項或執行疑難排解,請參閱在 AKS 中使用秘密存放區 CSI 驅動程式的 Azure Key Vault 提供者的設定選項和疑難排解資源