你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在运营商关系中为托管凭据轮换设置 Key Vault

2025-02-25

Azure 运营商关系利用机密和证书来管理组件的跨平台安全性。运营商关系平台处理这些机密和证书的轮换。默认情况下，运营商关系将凭据存储在托管的 Key Vault 中。若要将轮换后的凭据保存在自己的密钥保管库中，用户必须配置自己的密钥保管库来接收轮换后的凭据。此配置要求用户为 Azure 运营商关系实例配置密钥保管库。创建后，用户需要在客户 Key Vault 上添加角色分配，以允许运营商关系平台编写更新的凭据，并额外将客户 Key Vault 链接到关系群集资源。

先决条件

安装最新版本的相应 CLI 扩展
获取客户订阅的订阅 ID

注意

单个 Key Vault 可用于任意数量的群集。

使用群集的托管标识配置密钥保管库

注意

Key Vault 和群集托管标识的托管标识功能与 2024-10-01-preview API 一起提供，适用于 2025-02-01 GA API。

请参阅 Azure 运营商关系群集对托管标识和用户提供的资源的支持

使用群集管理器的托管标识配置密钥保管库

注意

随着 2025-02-01 GA API 推出，此方法已弃用。过渡期用于支持迁移，但现有用户应希望迁移到使用群集托管标识。更新群集以使用机密存档设置和群集托管标识后，将忽略群集管理器托管标识以进行凭据轮换。

从 2024-07-01 API 版本开始，群集管理器中的托管标识用于写入访问，以将轮换的凭据传送到密钥保管库。群集管理器标识可以是系统分配的，也可以是用户分配的，还可以通过 API 或 CLI 直接管理。

有关将托管标识分配到群集管理器的信息，请参阅群集管理器标识

配置 Nexus 群集机密存档

将客户密钥保管库注册为 Nexus 群集的机密存档。必须在群集中配置 Key Vault 资源 ID，并启用该 ID 以存储群集的机密。

示例：

# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"

# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive

有关更多帮助：

az networkcloud cluster update --secret-archive ?? --help

获取群集管理器托管标识的主体 ID

配置托管标识后，使用 CLI 查看群集管理器中的标识和关联的主体 ID 数据。

示例：

az networkcloud clustermanager show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Manager Resource Group Name>/providers/Microsoft.NetworkCloud/clusterManagers/<Cluster Manager Name>

系统分配的标识示例：

    "identity": {
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "type": "SystemAssigned"
    },

用户分配的标识示例：

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                "principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
            }
        }
    },

请参阅使用群集的托管标识配置 Key Vault，以便为托管标识主体 ID 分配适当的角色。

通过