Migración de los certificados de la cuenta de Batch a Azure Key Vault

El 29 de febrero de 2024, se retirará la característica de certificados de la cuenta de Azure Batch. En este artículo, obtendrá información sobre cómo migrar los certificados de las cuentas de Azure Batch mediante Azure Key Vault.

Sobre la característica

Los certificados suelen ser necesarios en varios escenarios, como descifrar un secreto, proteger los canales de comunicación o acceder a otro servicio. Actualmente, Azure Batch ofrece dos maneras de administrar certificados de grupos de Batch. Puede agregar certificados a una cuenta de Batch o puede usar la extensión de máquina virtual de Azure Key Vault para administrar los certificados en los grupos de Batch. Solo se retirará la funcionalidad de certificado en una cuenta de Azure Batch y la funcionalidad que extiende a los grupos de Batch mediante CertificateReference para Agregar grupo, Revisar grupo, Actualizar propiedades y las referencias correspondientes en las API Get y List Pool. Además, para los grupos de Linux, la variable de entorno $AZ_BATCH_CERTIFICATES_DIR ya no se define ni se rellena.

Finalización del soporte técnico de la característica

Azure Key Vault es el mecanismo estándar recomendado para almacenar y acceder a secretos y certificados en Azure de forma segura. Por lo tanto, el 29 de febrero de 2024, retiraremos la característica de certificados de cuenta de Batch en Azure Batch. La alternativa es usar la extensión de máquina virtual de Azure Key Vault y una identidad administrada asignada por el usuario en el grupo para acceder e instalar certificados de forma segura en los grupos de Batch.

Después de retirar la característica de certificados en Azure Batch el 29 de febrero de 2024, un certificado en Batch no funcionará según lo previsto. Después de esa fecha, ya no podrá agregar certificados a una cuenta de Batch ni vincular estos certificados a grupos de Batch. Es posible que los grupos que sigan usando esta característica después de esta fecha no se comporten como se esperaba, como al actualizar referencias de certificado o la capacidad de instalar referencias de certificado existentes.

Alternativa: usar la extensión de máquina virtual de Azure Key Vault con la identidad administrada asignada por el usuario del grupo

Azure Key Vault es un servicio de Azure totalmente administrado que proporciona acceso controlado para almacenar y administrar secretos, certificados, tokens y claves. Azure Key Vault proporciona seguridad en la capa de transporte asegurándose de que esté cifrado cualquier flujo de datos del almacén de claves a la aplicación cliente. Azure Key Vault proporciona una manera segura de almacenar información de acceso esencial y establecer un control de acceso pormenorizado. Puede administrar todos los secretos desde un panel. Elija almacenar una clave en módulos de seguridad de hardware (HSM) protegidos por software o protegidos por hardware. También puede establecer Key Vault en certificados de reenvase automáticamente.

Para obtener una guía completa sobre cómo habilitar la extensión de máquina virtual de Azure Key Vault con la identidad administrada asignada por el usuario del grupo, consulte Habilitar la rotación automática de certificados en un grupo de Batch.

Preguntas más frecuentes

• ¿Los grupos de CloudServiceConfiguration admiten la extensión de máquina virtual de Azure Key Vault y la identidad administrada en grupos?

  No. Los grupos de CloudServiceConfiguration se retirarán en la misma fecha que la retirada del certificado de cuenta de Azure Batch el 29 de febrero de 2024. Se recomienda migrar a VirtualMachineConfiguration grupos antes de esa fecha en la que pueda usar estas soluciones.

• ¿Las cuentas de Batch de asignación de grupos de suscripciones de usuario admiten Azure Key Vault?

  Sí. Puede usar el mismo almacén de claves que se especificó con la cuenta de Batch para su uso con los grupos, pero el almacén de claves utilizado para los certificados de los grupos de Batch puede ser completamente independiente.

• ¿Se admiten los grupos de Batch de Linux y Windows con la extensión de máquina virtual de Key Vault?

  Sí. Consulte la documentación correspondiente a Windows y Linux.

• ¿Puede actualizar los grupos existentes con una extensión de máquina virtual de Key Vault?

  No, estas propiedades no se pueden actualizar en el grupo. Debe volver a crear grupos.

• ¿Cómo obtengo referencias a los certificados en los grupos de Batch de Linux, puesto que $AZ_BATCH_CERTIFICATES_DIR se va a quitar?

  La extensión de máquina virtual de Key Vault para Linux permite especificar , certificateStoreLocationque es una ruta de acceso absoluta a donde se almacena el certificado. La extensión de máquina virtual de Key Vault limitará los certificados instalados en la ubicación especificada solo con privilegios de superusuario (raíz). Debe asegurarse de que las tareas se ejecutan con privilegios elevados para acceder a estos certificados de forma predeterminada o copiarlos en un archivo accesible directamente o ajustar los archivos de certificado con los modos de archivo adecuados. Puede ejecutar comandos como parte de una tarea de inicio con privilegios elevados o una tarea de preparación de trabajos.

• Cómo instalar .cer archivos que no contienen claves privadas?

  Key Vault no considera que estos archivos tengan privilegios, ya que no contienen información de clave privada. Puede instalar .cer archivos mediante cualquiera de los métodos siguientes. Use secretos de Key Vault con los privilegios de acceso adecuados para la identidad administrada asignada por el usuario asociada y capture el archivo como parte de la .cer tarea de inicio que se va a instalar. Como alternativa, almacene el .cer archivo como un blob de Azure Storage y haga referencia a él como un archivo de recursos de Batch en la tarea de inicio que se va a instalar.

• Cómo acceder a certificados instalados de extensión de Key Vault para identidades de grupo de usuarios automáticos que no son de nivel de tarea?

  Los usuarios automáticos de nivel de tarea se crean a petición y no se pueden predefinir para especificar en la accounts propiedad en la extensión de máquina virtual de Key Vault. Necesitará un proceso personalizado que exporte el certificado necesario a un almacén o ACL accesibles habitualmente para el acceso mediante usuarios automáticos de nivel de tarea.

• ¿Dónde puedo encontrar los procedimientos recomendados para usar Azure Key Vault?

  Consulte Procedimientos recomendados para usar Azure Key Vault.

Pasos siguientes

Para obtener más información, consulte Control de acceso al certificado. Para obtener más información sobre la funcionalidad de Batch relacionada con esta migración, consulte Uso de extensiones con grupos de Batch y Configuración de identidades administradas en grupos de Batch.