Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Operaciones de IoT de Azure usa Azure Key Vault como solución de almacén administrado en la nube y usa la extensión Almacén de secretos de Azure Key Vault para Kubernetes para sincronizar los secretos desde la nube y almacenarlos en el perímetro como secretos de Kubernetes.
Importante
Siga los procedimientos recomendados para proteger Azure Key Vault que usa con Azure IoT Operations. Garantizar la seguridad de Key Vault es fundamental para proteger los secretos. Para obtener instrucciones detalladas sobre cómo proteger Azure Key Vault, consulte Procedimientos recomendados para usar Azure Key Vault.
Requisitos previos
Una instancia de Operaciones de IoT de Azure implementada con una configuración segura. Si ha implementado Operaciones de IoT de Azure con la configuración de prueba y ahora quiere usar secretos, primero debe habilitar la configuración segura.
La creación de secretos en el almacén de claves requiere permisos del Responsable de secretos en el nivel de recurso. Para obtener información sobre cómo asignar roles a los usuarios, consulte Pasos para asignar un rol de Azure.
Adición y uso de secretos
La administración de secretos para Operaciones de IoT de Azure usa la extensión Almacén de secretos para sincronizar los secretos de una instancia de Azure Key Vault y almacenarlos en el perímetro como secretos de Kubernetes. Al habilitar la configuración segura durante la implementación, ha seleccionado una instancia de Azure Key Vault para la administración de secretos. En esta instancia de Key Vault, se almacenan todos los secretos que se usarán en Operaciones de IoT de Azure.
Nota
Las instancias de Operaciones de IoT de Azure solo funcionan con una instancia de Azure Key Vault; no se admiten varios almacenes de claves por instancia.
Una vez completados los pasos de configuración de la administración de secretos, puede empezar a agregar secretos a Azure Key Vault y sincronizarlos con el clúster de Kubernetes para ser utilizados en puntos de conexión de activos o puntos de conexión de flujo de datos mediante la interfaz de usuario web de la experiencia de operaciones.
Los secretos se usan en puntos de conexión de recursos y puntos de conexión de flujo de datos para la autenticación. Esta sección utiliza los puntos de conexión de recursos como ejemplo. El mismo proceso se puede aplicar a los puntos de conexión de flujo de datos. Tiene la opción de crear directamente el secreto en Azure Key Vault y sincronizarlo automáticamente con el clúster o usar una referencia de secreto existente desde el almacén de claves:
Vaya a la página Puntos de conexión de recursos en la interfaz de usuario web de la experiencia de operaciones.
Para agregar una nueva referencia secreta, seleccione Agregar referencia al crear un nuevo punto de conexión de recurso:
Creación de un nuevo secreto: crea una referencia de secreto en Azure Key Vault y también sincroniza automáticamente el secreto en el clúster mediante la extensión Almacén de secretos. Use esta opción si no ha creado, de antemano, el secreto que necesita para este escenario en el almacén de claves.
Agregar desde Azure Key Vault: sincroniza un secreto existente en el almacén de claves hasta el clúster si no estaba sincronizado antes. Al seleccionar esta opción, se muestra la lista de referencias de secretos en el almacén de claves seleccionado. Use esta opción si ha creado, de antemano, el secreto en el almacén de clave. Solo se sincroniza la versión más reciente del secreto con el clúster.
Al agregar las referencias de nombre de usuario y contraseña a los puntos de conexión del recurso o los puntos de conexión de flujo de datos, debe asignar un nombre al secreto sincronizado. Las referencias de secretos se almacenan en el clúster bajo este nombre, actuando como un único recurso de sincronización de secretos. En el ejemplo de la captura de pantalla siguiente, las referencias de nombre de usuario y contraseña se guardan en el clúster como edp1secrets.
Administración de secretos sincronizados
Esta sección utiliza los puntos de conexión de recursos como ejemplo. El mismo proceso se puede aplicar a los puntos de conexión de flujo de datos:
Vaya a la página Puntos de conexión de recursos en la interfaz de usuario web de la experiencia de operaciones.
Para ver la lista de secretos, seleccione Administrar certificados y secretos y, a continuación, Secretos:
Puede usar la página Secretos para ver los secretos sincronizados en los puntos de conexión de recursos y los puntos de conexión de flujo de datos. La página Secretos muestra la lista de todos los secretos sincronizados actuales en el perímetro del recurso que está viendo. Un secreto sincronizado representa una o varias referencias de secretos, según el recurso que lo use. Cualquier operación aplicada a un secreto sincronizado se aplicará a todas las referencias de secretos contenidas en el secreto sincronizado.
También puede eliminar secretos sincronizados en la página Secretos . Al eliminar un secreto sincronizado, solo elimina el secreto sincronizado del clúster de Kubernetes y no elimina la referencia de secreto independiente de Azure Key Vault. Debe eliminar manualmente el secreto de certificado del almacén de claves.
Advertencia
La edición directa de los recursos personalizados SecretProviderClass y SecretSync en el clúster de Kubernetes puede interrumpir el flujo de secretos en operaciones de Azure IoT. Para cualquier operación relacionada con secretos, utilice la interfaz web de la experiencia operativa.
Antes de eliminar un secreto sincronizado, asegúrese de que se quiten todas las referencias al secreto de los componentes de Operaciones de IoT de Azure.