Condividi tramite

Eseguire la migrazione dei certificati dell'account Batch ad Azure Key Vault

Il 29 febbraio 2024, la funzionalità certificati dell'account Azure Batch verrà ritirata. Questo articolo illustra come eseguire la migrazione dei certificati negli account Azure Batch usando Azure Key Vault.

Informazioni sulla funzionalità

I certificati sono spesso necessari in diversi scenari, ad esempio la decrittografia di un segreto, la protezione di canali di comunicazione o l'accesso a un altro servizio. Attualmente, Azure Batch offre due metodi per gestire i certificati nei pool di Batch. È possibile aggiungere certificati a un account Batch oppure usare l'estensione vm di Azure Key Vault per gestire i certificati nei pool di Batch. Solo la funzionalità del certificato in un account Azure Batch e la funzionalità che si estende ai pool di Batch tramite CertificateReference per aggiungere pool, Pool di patch, aggiornare proprietà e i riferimenti corrispondenti nelle API Get e List Pool vengono ritirati. Inoltre, per i pool Linux, la variabile di ambiente $AZ_BATCH_CERTIFICATES_DIR non verrà più definita e popolata.

Fine del supporto della funzionalità

Azure Key Vault è il metodo standard consigliato per l'archiviazione e l'accesso in sicurezza a segreti e certificati in Azure. Di conseguenza, il 29 febbraio 2024 si ritirerà la funzionalità Certificati dell'account Batch in Azure Batch. L'alternativa consiste nell'usare l'estensione vm di Azure Key Vault e un'identità gestita assegnata dall'utente nel pool per accedere e installare certificati nei pool di Batch in sicurezza.

In seguito al ritiro della funzionalità dei certificati in Azure Batch il 29 febbraio 2024, un certificato in Batch non funzionerà come previsto. Dopo tale data, non sarà più possibile aggiungere certificati a un account Batch o collegare questi certificati ai pool di Batch. I pool che continuano a utilizzare questa funzionalità dopo questa data potrebbero non comportarsi come previsto, ad esempio durante l’aggiornamento dei riferimenti ai certificati o l’installazione di riferimenti ai certificati esistenti.

Alternativa: usare l'estensione della macchina virtuale di Azure Key Vault con l'identità gestita assegnata dall'utente del pool

Azure Key Vault è un servizio di Azure completamente gestito che fornisce accesso controllato per archiviare e gestire segreti, certificati, token e chiavi. Key Vault offre sicurezza a livello di trasporto assicurando che qualsiasi flusso di dati dall'insieme di credenziali delle chiavi all'applicazione client sia crittografato. Azure Key Vault offre un modo sicuro per archiviare informazioni di accesso essenziali e impostare un controllo degli accessi granulare. È possibile gestire tutti i segreti da un unico dashboard. Scegliere di archiviare una chiave in moduli di sicurezza hardware protetti da software o hardware. È anche possibile impostare Key Vault per modificare automaticamente i certificati.

Per una guida completa su come abilitare l'estensione macchina virtuale di Azure Key Vault con identità gestita assegnata dall'utente del pool, vedere Abilitare la rotazione automatica dei certificati in un pool di Batch.

Domande frequenti

  • I pool CloudServiceConfiguration supportano l'estensione della macchina virtuale di Azure Key Vault e l'identità gestita nei pool?

    No. I pool CloudServiceConfiguration verranno ritirati nella stessa data di ritiro del certificato dell'account Azure Batch, il 29 febbraio 2024. È consigliabile eseguire la migrazione ai pool VirtualMachineConfiguration, in cui è possibile usare queste soluzioni, prima di tale data.

  • Gli account Batch di allocazione pool di sottoscrizioni utente supportano Azure Key Vault?

    Sì. È possibile utilizzare lo stesso Key Vault specificato con l’account Batch anche per i pool, ma il Key Vault usato per i certificati dei pool Batch può essere completamente separato.

  • I pool di Batch Linux e Windows sono supportati con l'estensione della macchina virtuale Key Vault?

    Sì. Vedere la documentazione per Windows e Linux.

  • È possibile aggiornare i pool esistenti con un'estensione di macchina virtuale di Key Vault?

    No, queste proprietà non sono aggiornabili nel pool. È necessario ricreare i pool.

  • Come si ottengono riferimenti ai certificati nei pool di Batch Linux visto che $AZ_BATCH_CERTIFICATES_DIR verrà rimosso?

    L'estensione della macchina virtuale Key Vault per Linux consente di specificare certificateStoreLocation, ovvero un percorso assoluto in cui sono archiviati i certificati. L’estensione Key Vault per le VM assegnerà l’ambito dei certificati installati nella posizione specificata esclusivamente con privilegi di superutente (root). È necessario assicurarsi che le attività vengano eseguite con privilegi elevati per accedere a questi certificati per impostazione predefinita oppure copiare i certificati in un file accessibile direttamente e/o modificare i file di certificato con le modalità file appropriate. È possibile eseguire tali comandi come parte di un'attività di avvio o di preparazione del processo con privilegi elevati.

  • Come installare file .cer che non contengono chiavi private?

    Key Vault non considera questi file come con privilegi poiché non contengono informazioni sulla chiave privata. È possibile installare i file .cer usando uno dei metodi seguenti. Usare i segreti di Key Vault con privilegi di accesso appropriati per l'identità gestita assegnata dall'utente associata e recuperare il file .cer come parte dell'attività di avvio da installare. In alternativa, archiviare il file .cer come BLOB di archiviazione di Azure e farvi riferimento come file di risorse Batch nell'attività di avvio da installare.

  • Come si accede all'estensione Key Vault installata per le identità del pool di utenti non amministratori automatici a livello di attività?

    Gli utenti automatici a livello di attività vengono creati su richiesta e non possono essere predefiniti per la specifica nella proprietà accounts nell'estensione della macchina virtuale di Key Vault. È necessario un processo personalizzato che esporti il certificato richiesto in un archivio comunemente accessibile o configuri correttamente gli ACL per consentire l’accesso agli utenti automatici a livello di attività.

  • Dove è possibile trovare le procedure consigliate per l'uso di Azure Key Vault?

    Vedere Procedure consigliate per Azure Key Vault.

Passaggi successivi

Per altre informazioni, vedere Controllo di accesso ai certificati di Key Vault. Per altre informazioni sulle funzionalità di Batch correlate a questa migrazione, vedere Estensioni del pool di Azure Batch e Identità gestita del pool di Azure Batch.

  • Last updated on