Eseguire la migrazione dei certificati dell'account Batch ad Azure Key Vault

Il 29 febbraio 2024 la funzionalità certificati dell'account Azure Batch verrà ritirata. Informazioni su come eseguire la migrazione dei certificati negli account Azure Batch usando Azure Key Vault in questo articolo.

Informazioni sulla funzionalità

I certificati sono spesso necessari in vari scenari, ad esempio la decrittografia di un segreto, la protezione dei canali di comunicazione o l'accesso a un altro servizio. Attualmente, Azure Batch offre due modi per gestire i certificati nei pool di Batch. È possibile aggiungere certificati a un account Batch oppure usare l'estensione vm di Azure Key Vault per gestire i certificati nei pool di Batch. Solo la funzionalità del certificato in un account Azure Batch e la funzionalità che si estende ai pool di Batch tramite CertificateReference aggiungi pool, pool di patch, proprietà di aggiornamento e i riferimenti corrispondenti nelle API Get e List Pool vengono ritirati. Inoltre, per i pool Linux, la variabile $AZ_BATCH_CERTIFICATES_DIR di ambiente non verrà più definita e popolata.

Fine funzionalità del supporto

Azure Key Vault è il meccanismo standard consigliato per l'archiviazione e l'accesso a segreti e certificati in Azure in modo sicuro. Di conseguenza, il 29 febbraio 2024 si ritirerà la funzionalità Certificati account Batch in Azure Batch. L'alternativa consiste nell'usare l'estensione vm di Azure Key Vault e un'identità gestita assegnata dall'utente nel pool per accedere e installare in modo sicuro i certificati nei pool di Batch.

Dopo che la funzionalità dei certificati in Azure Batch è stata ritirata il 29 febbraio 2024, un certificato in Batch non funzionerà come previsto. Dopo tale data, non sarà più possibile aggiungere certificati a un account Batch o collegare questi certificati ai pool di Batch. I pool che continuano a usare questa funzionalità dopo questa data potrebbero non comportarsi come previsto, ad esempio l'aggiornamento dei riferimenti al certificato o la possibilità di installare riferimenti al certificato esistenti.

Alternativa: usare l'estensione della macchina virtuale di Azure Key Vault con l'identità gestita assegnata dall'utente del pool

Azure Key Vault è un servizio di Azure completamente gestito che fornisce accesso controllato per archiviare e gestire segreti, certificati, token e chiavi. Key Vault offre sicurezza a livello di trasporto assicurando che qualsiasi flusso di dati dall'insieme di credenziali delle chiavi all'applicazione client sia crittografato. Azure Key Vault offre un modo sicuro per archiviare le informazioni di accesso essenziali e impostare un controllo di accesso con granularità fine. È possibile gestire tutti i segreti da un unico dashboard. Scegliere di archiviare una chiave in moduli di protezione hardware protetti da software o hardware. È anche possibile impostare Key Vault per modificare automaticamente i certificati.

Per una guida completa su come abilitare l'estensione macchina virtuale di Azure Key Vault con identità gestita assegnata dall'utente del pool, vedere Abilitare la rotazione automatica dei certificati in un pool di Batch.

Domande frequenti

• I CloudServiceConfiguration pool supportano l'estensione della macchina virtuale di Azure Key Vault e l'identità gestita nei pool?

  Nr. CloudServiceConfiguration I pool verranno ritirati nella stessa data di ritiro del certificato dell'account Azure Batch il 29 febbraio 2024. È consigliabile eseguire la migrazione ai VirtualMachineConfiguration pool prima di tale data in cui è possibile usare queste soluzioni.

• Gli account Batch di allocazione pool di sottoscrizioni utente supportano Azure Key Vault?

  Sì. È possibile usare lo stesso insieme di credenziali delle chiavi specificato con l'account Batch usato con i pool, ma l'insieme di credenziali delle chiavi usato per i certificati per i pool di Batch può essere completamente separato.

• I pool di Batch Linux e Windows sono supportati con l'estensione della macchina virtuale Key Vault?

  Sì. Vedere la documentazione per Windows e Linux.

• È possibile aggiornare i pool esistenti con un'estensione di macchina virtuale di Key Vault?

  No, queste proprietà non sono aggiornabili nel pool. È necessario ricreare i pool.

• Ricerca per categorie ottenere riferimenti ai certificati nei pool di Batch Linux perché $AZ_BATCH_CERTIFICATES_DIR verranno rimossi?

  L'estensione della macchina virtuale Key Vault per Linux consente di specificare certificateStoreLocation, ovvero un percorso assoluto in cui è archiviato il certificato. L'estensione della macchina virtuale di Key Vault consentirà di definire l'ambito dei certificati installati nel percorso specificato con solo privilegi di utente con privilegi avanzati (radice). È necessario assicurarsi che le attività vengano eseguite con privilegi elevati per accedere a questi certificati per impostazione predefinita oppure copiare i certificati in un file accessibile direttamente e/o modificare i file di certificato con le modalità file appropriate. È possibile eseguire tali comandi come parte di un'attività di avvio o di preparazione del processo con privilegi elevati.

• Ricerca per categorie file di installazione .cer che non contengono chiavi private?

  Key Vault non considera questi file con privilegi perché non contengono informazioni sulla chiave privata. È possibile installare i .cer file usando uno dei metodi seguenti. Usare i segreti di Key Vault con privilegi di accesso appropriati per l'identità gestita assegnata dall'utente associata e recuperare il .cer file come parte dell'attività di avvio da installare. In alternativa, archiviare il .cer file come Archiviazione di Azure BLOB e fare riferimento come file di risorse Batch nell'attività di avvio da installare.

• Ricerca per categorie accedere ai certificati installati dall'estensione Key Vault per le identità del pool di utenti non amministratori automatici a livello di attività?

  Gli utenti automatici a livello di attività vengono creati su richiesta e non possono essere predefiniti per specificare la accounts proprietà nell'estensione della macchina virtuale di Key Vault. È necessario un processo personalizzato che esporta il certificato necessario in un archivio o ACL comunemente accessibile in modo appropriato per l'accesso da parte degli utenti automatici a livello di attività.

• Dove è possibile trovare le procedure consigliate per l'uso di Azure Key Vault?

  Vedere Procedure consigliate per Azure Key Vault.

Passaggi successivi

Per altre informazioni, vedere Controllo di accesso ai certificati di Key Vault. Per altre informazioni sulle funzionalità di Batch correlate a questa migrazione, vedere Estensioni del pool di Azure Batch e Identità gestita del pool di Azure Batch.