Поделиться через

Применение расширения виртуальной машины Key Vault к Azure Облачные службы (расширенная поддержка)

  • Статья

В этой статье содержатся основные сведения о расширении виртуальной машины Azure Key Vault для Windows и показано, как включить его в Azure Облачные службы.

Что такое расширение виртуальной машины Key Vault?

Расширение виртуальной машины Key Vault обеспечивает автоматическое обновление секретов, хранящихся в Azure Key Vault. В частности, расширение отслеживает список наблюдаемых сертификатов, хранящихся в хранилищах ключей. Когда расширение обнаруживает изменение, оно извлекает и устанавливает соответствующие сертификаты. Дополнительные сведения см. в разделе "Расширение виртуальной машины Key Vault" для Windows.

Новые возможности расширения виртуальной машины Key Vault?

Расширение виртуальной машины Key Vault теперь поддерживается Облачными службами Azure (расширенная поддержка), что обеспечивает комплексное управление сертификатами. Теперь расширение может извлекать сертификаты из настроенного хранилища ключей в предопределенном интервале опроса и устанавливать их для использования службой.

Как использовать расширение виртуальной машины Key Vault?

В следующей процедуре показано, как установить расширение виртуальной машины Key Vault в Azure Облачные службы, сначала создав сертификат начальной загрузки в хранилище, чтобы получить маркер из идентификатора Microsoft Entra. Этот маркер помогает в проверке подлинности расширения с хранилищем. После настройки процесса проверки подлинности и установки расширения все последние сертификаты будут вытягиваться автоматически при регулярных интервалах опроса.

Примечание.

Расширение виртуальной машины Key Vault загружает все сертификаты в хранилище сертификатов Windows в расположение, предоставленное certificateStoreLocation свойством в параметрах расширения виртуальной машины. В настоящее время расширение виртуальной машины Key Vault предоставляет доступ к закрытому ключу сертификата только учетной записи локального администратора системы.

Необходимые компоненты

Чтобы использовать расширение виртуальной машины Azure Key Vault, необходимо иметь клиент Microsoft Entra. Дополнительные сведения см . в кратком руководстве по настройке клиента.

Включение расширения виртуальной машины Azure Key Vault

  1. Создайте сертификат в хранилище и скачайте файл .cer для этого сертификата.

  2. В портал Azure перейдите к Регистрация приложений.

    Снимок экрана: ресурсы, доступные в портал Azure, включая регистрацию приложений.

  3. На странице Регистрация приложений выберите Новая регистрация.

    Снимок экрана: страница регистрации приложений в портал Azure.

  4. На следующей странице заполните форму и завершите создание приложения.

  5. Отправьте файл .cer сертификата на портал приложения Microsoft Entra.

    При необходимости можно использовать функцию уведомления Сетка событий Azure для Key Vault для отправки сертификата.

  6. Предоставьте разрешения секрета приложения Microsoft Entra в Key Vault:

    • Если вы используете предварительную версию управления доступом на основе ролей (RBAC), найдите имя созданного приложения Microsoft Entra и назначьте его роли пользователя секретов Key Vault (предварительная версия).
    • Если вы используете политики доступа к хранилищу, назначьте разрешения Secret-Get созданному приложению Microsoft Entra. Дополнительные сведения см. в разделе "Назначение политик доступа".

  7. Установите расширение виртуальной машины Key Vault с помощью фрагмента шаблона Azure Resource Manager для cloudService ресурса:

    {
    "osProfile":
    {
        "secrets":
        [
            {
                "sourceVault":
                {
                    "id": "[parameters('sourceVaultValue')]"
                },
                "vaultCertificates":
                [
                    {
                        "certificateUrl": "[parameters('bootstrpCertificateUrlValue')]"
                    }
                ]
            }
        ]
    },
    "extensionProfile":
    {
        "extensions":
        [
            {
                "name": "KVVMExtensionForPaaS",
                "properties":
                {
                    "type": "KeyVaultForPaaS",
                    "autoUpgradeMinorVersion": true,
                    "typeHandlerVersion": "1.0",
                    "publisher": "Microsoft.Azure.KeyVault",
                    "settings":
                    {
                        "secretsManagementSettings":
                        {
                            "pollingIntervalInS": "3600",
                            "certificateStoreName": "My",
                            "certificateStoreLocation": "LocalMachine",
                            "linkOnRenewal": false,
                            "requireInitialSync": false,
                            "observedCertificates": "[parameters('keyVaultObservedCertificates']"
                        },
                        "authenticationSettings":
                        {
                            "clientId": "Your AAD app ID",
                            "clientCertificateSubjectName": "Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
                        }
                    }
                }
            }
        ]
    }
}

    Возможно, потребуется указать хранилище сертификатов для сертификата начальной загрузки в ServiceDefinition.csdef:

        <Certificates>
             <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
    </Certificates>

Следующие шаги

Дальнейшее улучшение развертывания путем включения мониторинга в Azure Облачные службы (расширенная поддержка).