Habilitar configurações seguras no Operações do Azure IoT

As configurações seguras para Operações do Azure IoT incluem a configuração do gerenciamento de segredos e uma identidade gerenciada atribuída pelo usuário para conexões de nuvem; por exemplo, um servidor OPC UA ou pontos de extremidade de fluxo de dados.

Este artigo traz instruções para habilitar configurações seguras se você não fez isso durante a implantação inicial.

Pré-requisitos

Uma instância do Operações do Azure IoT implantada com configurações de teste.
CLI do Azure versão 2.62.0 ou mais recente instalada em seu computador de desenvolvimento. Use az --version para verificar sua versão e az upgrade para atualizar, se necessário. Para obter mais informações, consulte Como instalar o CLI do Azure.
A versão mais recente da extensão connectedk8s para CLI do Azure. Use o seguinte comando para adicionar a extensão ou atualizá-la à versão mais recente:
```
az extension add --upgrade --name connectedk8s
```
Extensão de Operações do Azure IoT para CLI do Azure. Use o seguinte comando para adicionar a extensão ou atualizá-la à versão mais recente:
```
az extension add --upgrade --name azure-iot-ops
```

Habilitar o cluster para configurações seguras

Para habilitar a sincronização de segredos para sua instância de Operações de IoT do Azure, os recursos de emissor OIDC e federação de identidade de carga de trabalho devem estar habilitados em seu cluster. Essa configuração é necessária para a extensão Azure Key Vault Secret Store para sincronizar os segredos de um Azure Key Vault e armazená-los na borda como segredos do Kubernetes.

Para clusters do AKS (Serviço de Kubernetes do Azure), os recursos de identidade do emissor do OIDC e da carga de trabalho só podem ser habilitados no momento da criação do cluster. Para clusters no AKS Edge Essentials, o script automatizado habilita esses recursos por padrão. Para clusters do AKS no Azure Local, siga as etapas para Deploy e configurar a identidade de carga de trabalho em um AKS habilitado por Azure Arc cluster para criar um novo cluster se você não tiver um com os recursos necessários.

Para clusters k3s no Kubernetes, você pode atualizar um cluster existente. Para habilitar e configurar esses recursos, use as seguintes etapas:

Atualize o cluster para habilitar a identidade do emissor e da carga de trabalho do OIDC.
```
az connectedk8s update -n <CLUSTER_NAME> -g <RESOURCE_GROUP> --enable-oidc-issuer --enable-workload-identity
```
Se você habilitou os recursos de identidade do emissor e da carga de trabalho do OIDC quando criou o cluster, não precisará executar o comando anterior novamente. Use o seguinte comando para verificar o status dos recursos de identidade da carga de trabalho e emissor do OIDC para o cluster:
```
az connectedk8s show -g <RESOURCE_GROUP> -n <CLUSTER_NAME> --query "{ClusterName:name, OIDCIssuerEnabled:oidcIssuerProfile.enabled, WorkloadIdentityEnabled:securityProfile.workloadIdentity.enabled}"
```

Obtenha a URL do emissor do cluster.

az connectedk8s show -g <RESOURCE_GROUP> -n <CLUSTER_NAME> --query oidcIssuerProfile.issuerUrl --output tsv

Anote a saída desse comando a ser usada nas próximas etapas.

Crie o arquivo de configuração k3s no computador em que você implantou o cluster do Kubernetes:
```
sudo nano /etc/rancher/k3s/config.yaml
```
Adicione o seguinte conteúdo ao arquivo config.yaml, substituindo o espaço reservado <SERVICE_ACCOUNT_ISSUER> pela URL do emissor do cluster da qual você anotou anteriormente:
```
kube-apiserver-arg:
- service-account-issuer=<SERVICE_ACCOUNT_ISSUER>
- service-account-max-token-expiration=24h
```
Salve o arquivo e saia do editor nano.
Reinicie o serviço do k3s:
```
sudo systemctl restart k3s
```

Configurar o gerenciamento de segredos

O gerenciamento de segredos para operações de IoT do Azure usa a extensão do Repositório de Segredos para sincronizar os segredos de um Azure Key Vault e armazená-los na borda como segredos do Kubernetes. A extensão do Repositório de Segredos requer uma identidade gerenciada atribuída pelo usuário com acesso ao Azure Key Vault em que os segredos são armazenados. Para saber mais, confira O que são identidades gerenciadas para recursos do Azure?

Para configurar o gerenciamento de segredos:

Crie um Azure Key Vault usado para armazenar segredos e dê permissões à sua conta de usuário para gerenciar segredos com a função Key Vault Secrets Officer.
Crie uma identidade gerenciada atribuída pelo usuário para a extensão do Repositório de Segredos a ser usada para acessar o cofre de chaves.

Use o comando az iot ops secretsync enable para configurar a instância Operações do Azure IoT para sincronização secreta. Este comando:

Cria uma credencial da identidade federada usando a identidade gerenciada atribuída pelo usuário.
Adiciona uma atribuição de função à identidade gerenciada atribuída pelo usuário para acesso ao Azure Key Vault.
Adiciona uma classe de provedor de segredo mínima associada à instância de Operações do Azure IoT.

Bash
PowerShell

# Variable block
AIO_INSTANCE_NAME="<AIO_INSTANCE_NAME>"
RESOURCE_GROUP="<RESOURCE_GROUP>"
USER_ASSIGNED_MI_NAME="<USER_ASSIGNED_MI_NAME>"
KEYVAULT_NAME="<KEYVAULT_NAME>"

#Get the resource ID of the user-assigned managed identity
USER_ASSIGNED_MI_RESOURCE_ID=$(az identity show --name $USER_ASSIGNED_MI_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)

#Get the resource ID of the key vault
KEYVAULT_RESOURCE_ID=$(az keyvault show --name $KEYVAULT_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)

#Enable secret synchronization
az iot ops secretsync enable --instance $AIO_INSTANCE_NAME \
                             --resource-group $RESOURCE_GROUP \
                             --mi-user-assigned $USER_ASSIGNED_MI_RESOURCE_ID \
                             --kv-resource-id $KEYVAULT_RESOURCE_ID

# Variable block
$AIO_INSTANCE_NAME="<AIO_INSTANCE_NAME>"
$RESOURCE_GROUP="<RESOURCE_GROUP>"
$USER_ASSIGNED_MI_NAME="<USER_ASSIGNED_MI_NAME>"
$KEYVAULT_NAME="<KEYVAULT_NAME>"

# Get the resource ID of the user-assigned managed identity
$USER_ASSIGNED_MI_RESOURCE_ID=$(az identity show --name $USER_ASSIGNED_MI_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)

# Get the resource ID of the key vault
$KEYVAULT_RESOURCE_ID=$(az keyvault show --name $KEYVAULT_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)

# Enable secret synchronization
az iot ops secretsync enable --instance $AIO_INSTANCE_NAME `
                             --resource-group $RESOURCE_GROUP `
                             --mi-user-assigned $USER_ASSIGNED_MI_RESOURCE_ID `
                             --kv-resource-id $KEYVAULT_RESOURCE_ID

Agora que a configuração de sincronização de segredos está concluída, você pode consultar Gerenciar segredos para sua implantação do Operações do Azure IoT para saber como usar segredos com o Operações do Azure IoT.

Configurar uma identidade gerenciada atribuída pelo usuário para conexões de nuvem

Alguns componentes das Operações do Azure IoT, como terminais de fluxo de dados, usam uma identidade gerenciada atribuída ao usuário para conexões de nuvem. Recomendamos usar uma identidade separada daquela usada para configurar o gerenciamento de segredos.

Crie uma identidade gerenciada atribuída pelo usuário que seja usada para conexões de nuvem.

Note

Você precisará conceder a permissão de identidade para qualquer recurso de nuvem para o qual usará a identidade gerenciada.

Use o comando az iot ops identity assign para atribuir a identidade à instância Operações do Azure IoT. Esse comando também cria uma credencial de identidade federada usando o emissor OIDC do cluster conectado indicado e a conta de serviço Operações do Azure IoT.

Bash
PowerShell

# Variable block
AIO_INSTANCE_NAME="<AIO_INSTANCE_NAME>"
RESOURCE_GROUP="<RESOURCE_GROUP>"
USER_ASSIGNED_MI_NAME="<USER_ASSIGNED_MI_NAME FOR CLOUD CONNECTIONS>"

#Get the resource ID of the user-assigned managed identity
USER_ASSIGNED_MI_RESOURCE_ID=$(az identity show --name $USER_ASSIGNED_MI_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)

#Assign the identity to the Azure IoT Operations instance
az iot ops identity assign --name $AIO_INSTANCE_NAME \
                           --resource-group $RESOURCE_GROUP \
                           --mi-user-assigned $USER_ASSIGNED_MI_RESOURCE_ID

# Variable block
$AIO_INSTANCE_NAME="<AIO_INSTANCE_NAME>"
$RESOURCE_GROUP="<RESOURCE_GROUP>"
$USER_ASSIGNED_MI_NAME="<USER_ASSIGNED_MI_NAME FOR CLOUD CONNECTIONS>"

# Get the resource ID of the user-assigned managed identity
$USER_ASSIGNED_MI_RESOURCE_ID=$(az identity show --name $USER_ASSIGNED_MI_NAME --resource-group $RESOURCE_GROUP --query id --output tsv)


# Assign the identity to the Azure IoT Operations instance
az iot ops identity assign --name $AIO_INSTANCE_NAME `
                           --resource-group $RESOURCE_GROUP `
                           --mi-user-assigned $USER_ASSIGNED_MI_RESOURCE_ID

Reinicie os pods do registro de esquema para aplicar a nova identidade.

kubectl delete pods adr-schema-registry-0 adr-schema-registry-1 -n azure-iot-operations

Agora, você poderá usar essa identidade gerenciada em pontos de extremidade do fluxo de dados para conexões de nuvem.

Bloquear o acesso do pod ao Serviço de Metadados de Instância do Azure

Quando você implanta o Operações do Azure IoT com configurações de segurança no AKS, a Microsoft recomenda bloquear o acesso de pod ao endpoint do Serviço de Metadados de Instância do Azure. Para saber como habilitar esse recurso, consulte Bloqueie o acesso do pod ao ponto de extremidade do Serviço de Metadados de Instância (IMDS) da Azure.

Comentários

Esta página foi útil?

Last updated on 2026-05-28