Поворот секретов в Azure Local

Область применения: гиперконвергентные развертывания локальной среды Azure

В этой статье описывается, как изменить пароль, связанный с пользователем развертывания в локальной среде Azure.

Изменение пароля пользователя для развертывания

Используйте командлет Set-AzureStackLCMUserPassword PowerShell для сменыAzureStackLCMUserCredential секретов учетных данных администратора домена. Этот командлет изменяет пароль пользователя, который подключается к узлам сервера.

Примечание.

При запуске Set-AzureStackLCMUserPassword командлет обновляет только то, что ранее было изменено в Active Directory.

Командлет и свойства PowerShell

Командлет Set-AzureStackLCMUserPassword принимает следующие параметры:

Параметр	Описание
`Identity`	Имя пользователя, пароль которого требуется изменить.
`OldPassword`	Текущий пароль пользователя.
`NewPassword`	Новый пароль для пользователя.
`UpdateAD`	Необязательный параметр, используемый для задания нового пароля в Active Directory.

Выполнение командлета Set-AzureStackLCMUserPassword

Задайте параметры и запустите Set-AzureStackLCMUserPassword командлет, чтобы изменить пароль:

$old_pass = convertto-securestring "<Old password>" -asplaintext -force
$new_pass = convertto-securestring "<New password>" -asplaintext -force

Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD

После изменения пароля сеанс завершится. Затем необходимо войти с помощью обновленного пароля.

Ниже приведен пример выходных данных при использовании Set-AzureStackLCMUserPassword:

PS C:\Users\MGMT> $old_pass = convertto-securestring "Passwordl23!" -asplaintext -force 
PS C:\Users\MGMT> $new_pass = convertto-securestring "Passwordl23!1" -asplaintext -force
PS C:\Users\MGMT> Set-AzureStackLCMUserPassword -Identity mgmt -OldPassword $old_pass -NewPassword $new_pass -UpdateAD 
WARNING: !WARNING!
The current session will be unresponsive once this command completes. You will have to login again with updated credentials. Do you want to continue?
Updating password in AD.
WARNING: Please close this session and log in again.
PS C:\Users\MGMT>

Изменение ключа учетной записи хранения кластера-свидетеля

В этом разделе описывается, как изменить ключ учетной записи хранения для учетной записи хранения кластера-свидетеля.

Войдите на один из локальных узлов Azure с помощью учетных данных пользователя развертывания.
Настройте кворум свидетеля с помощью ключа вторичной учетной записи хранения.
```
Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account secondary key>
```
Обновите первичный ключ учетной записи хранения.
Настройте кворум свидетеля с помощью ключа обновленной учетной записи хранения.
```
Set-ClusterQuorum -CloudWitness -AccountName <storage account name> -AccessKey <storage account primary key>
```
Повернуть вторичный ключ учетной записи хранения.

Обновите первичный ключ учетной записи хранения в хранилище ECE:

$SecureSecretText = ConvertTo-SecureString -String "<Replace Storage account key>" -AsPlainText -Force
$WitnessCred = New-Object -Type PSCredential -ArgumentList "WitnessCredential,$SecureSecretText"
Set-ECEServiceSecret -ContainerName WitnessCredential -Credential $WitnessCred

Отзыв токена SAS для аккаунта хранения, используемого для образов локальных виртуальных машин Azure.

В этом разделе описывается, как отозвать токен SAS для учетной записи для хранения, используемой для образов, задействуемых локальными виртуальными машинами Azure, управляемыми Arc.

Политика SAS	Истек срок действия SAS?	Действия по отмене
Любой SAS	Да	Действие не требуется, так как SAS больше не является действительным.
Нерегламентированный SAS, подписанный ключом учетной записи	Нет	вручную повернуть или повторно создать ключ учетной записи хранения, используемый для создания SAS.
Нерегламентированный SAS, подписанный ключом делегирования пользователей	Нет	Чтобы отозвать ключ делегирования пользователя SAS или изменить назначения ролей, см. Отмена ключа делегирования пользователя SAS.
SAS с хранимой политикой доступа	Нет	Сведения об обновлении срока действия до последней даты или времени или удаления хранимой политики доступа см. в статье Изменение или отмена хранимой политики доступа.

Дополнительные сведения см. в разделе Отмена SAS.

Изменение субъекта-службы развертывания

В этом разделе описывается, как изменить субъект-службу, используемый для развертывания.

Примечание.

Этот сценарий применяется только при обновлении программного обеспечения Azure Local 2306 до Azure Local версии 23H2.

Выполните следующие действия, чтобы изменить субъект-службу развертывания:

Войдите в свою учетную запись Microsoft Entra.
Найдите учетную запись службы, которую вы использовали при развертывании локального экземпляра Azure. Создайте новый клиентский секрет для учетной записи службы.
Запишите appID для существующего сервис-принципала и новый <client secret>.
Войдите на один из локальных компьютеров Azure с помощью учетных данных пользователя развертывания.
войдите в Azure. Выполните следующую команду PowerShell:
```
Connect-AzAccount
```
Настройка контекста подписки. Выполните следующую команду PowerShell:
```
Set-AzContext -Subscription <Subscription ID>
```

Обновите имя учетной записи службы. Выполните следующие команды PowerShell:

cd "C:\Program Files\WindowsPowerShell\Modules\Microsoft.AS.ArcIntegration"
Import-Module Microsoft.AS.ArcIntegration.psm1 -Force
$secretText=ConvertTo-SecureString -String <client secret> -AsPlainText -Force
Update-ServicePrincipalName -AppId <appID> -SecureSecretText $secretText

Изменить ключ (секрет) субъекта-службы ARB

В этом разделе описывается, как изменить служебный принципал, используемый для моста ресурсов Azure, который был создан во время развертывания.

Чтобы изменить субъект-службу развертывания, выполните следующие действия.

Войдите в свой идентификатор Microsoft Entra.
Найдите субъект-службу для моста ресурсов Azure. Имя служебного субъекта имеет формат ClusternameXX.arb.
Создайте новый клиентский секрет для учетной записи службы.
Запишите appID для существующего сервис-принципала и новый <client secret>.
Войдите на один из локальных компьютеров Azure с помощью учетных данных пользователя развертывания.

Выполните следующую команду PowerShell:

$SubscriptionId= "<Subscription ID>" 
$TenantId= "<Tenant ID>"
$AppId = "<Application ID>" 
$secretText= "<Client secret>" 
$NewPassword = ConvertTo-SecureString -String $secretText -AsPlainText -Force 
Set-AzureStackRPSpCredential -SubscriptionID $SubscriptionId -TenantID $TenantId -AppId $AppId -NewPassword $NewPassword

Регулярная смена внутренних секретов

В этом разделе описывается, как повернуть внутренние секреты. Внутренние секреты включают сертификаты, пароли, безопасные строки и ключи, используемые локальной инфраструктурой Azure. Внутренняя ротация секретов требуется только в том случае, если вы подозреваете, что один из них был взломан, или если вы получили предупреждение об истечении срока действия.

Точные шаги смены секретов отличаются в зависимости от версии программного обеспечения, выполняемой локальному экземпляру Azure.

Локальный экземпляр Azure под управлением 2411.2 и более поздних версий

Войдите на один из локальных узлов Azure с помощью учетных данных пользователя развертывания.
Запустите смену секретов. Выполните следующую команду PowerShell:
```
Start-SecretRotation
```

Локальный экземпляр Azure с 2411.1 по 2411.0

Войдите на один из локальных узлов Azure с помощью учетных данных пользователя развертывания.

Обновите пароль сертификата ЦС в хранилище JSON. Выполните следующую команду PowerShell:

$SecureSecretText = ConvertTo-SecureString -String "<Replace with a strong password>" -AsPlainText -Force
$CACertCred = New-Object -Type PSCredential -ArgumentList "CACertUser,$SecureSecretText"
Set-ECEServiceSecret -ContainerName CACertificateCred -Credential $CACertCred

Запустите смену секретов. Выполните следующую команду PowerShell:
```
Start-SecretRotation
```

Локальная инсталляция Azure версии 2408.2 или более ранней

Войдите на один из локальных узлов Azure с помощью учетных данных пользователя развертывания.