Batch-accountcertificaten migreren naar Azure Key Vault

Op 29 februari 2024 wordt de functie certificaten van het Azure Batch-account buiten gebruik gesteld. Meer informatie over het migreren van uw certificaten in Azure Batch-accounts met behulp van Azure Key Vault in dit artikel.

Over de functie

Certificaten zijn vaak vereist in verschillende scenario's, zoals het ontsleutelen van een geheim, het beveiligen van communicatiekanalen of het openen van een andere service. Momenteel biedt Azure Batch twee manieren om certificaten in Batch-pools te beheren. U kunt certificaten toevoegen aan een Batch-account of u kunt de AZURE Key Vault VM-extensie gebruiken om certificaten in Batch-pools te beheren. Alleen de certificaatfunctionaliteit voor een Azure Batch-account en de functionaliteit die het uitbreidt naar Batch-pools via CertificateReference het toevoegen van pools, patchpools, update-eigenschappen en de bijbehorende verwijzingen op Get- en List Pool-API's worden buiten gebruik gesteld. Daarnaast wordt voor Linux-pools de omgevingsvariabele $AZ_BATCH_CERTIFICATES_DIR niet meer gedefinieerd en ingevuld.

Einde van ondersteuning voor functies

Azure Key Vault is het standaardmechanisme dat wordt aanbevolen voor het veilig opslaan en openen van geheimen en certificaten in Azure. Daarom wordt op 29 februari 2024 de functie Batch-accountcertificaten in Azure Batch buiten gebruik gesteld. Het alternatief is het gebruik van de Azure Key Vault VM-extensie en een door de gebruiker toegewezen beheerde identiteit in de pool om veilig toegang te krijgen tot en certificaten te installeren in uw Batch-pools.

Nadat de functie certificaten in Azure Batch op 29 februari 2024 buiten gebruik is gesteld, werkt een certificaat in Batch niet zoals verwacht. Na die datum kunt u geen certificaten meer toevoegen aan een Batch-account of deze certificaten koppelen aan Batch-pools. Pools die deze functie na deze datum blijven gebruiken, werken mogelijk niet zoals verwacht, zoals het bijwerken van certificaatverwijzingen of de mogelijkheid om bestaande certificaatverwijzingen te installeren.

Alternatief: Azure Key Vault VM-extensie gebruiken met door de gebruiker toegewezen beheerde identiteit van de pool

Azure Key Vault is een volledig beheerde Azure-service die beheerde toegang biedt tot het opslaan en beheren van geheimen, certificaten, tokens en sleutels. Key Vault biedt beveiliging op de transportlaag door ervoor te zorgen dat gegevensstromen van de sleutelkluis naar de clienttoepassing worden versleuteld. Azure Key Vault biedt u een veilige manier om essentiële toegangsgegevens op te slaan en fijnmazige toegangsbeheer in te stellen. U kunt alle geheimen beheren vanuit één dashboard. Kies ervoor om een sleutel op te slaan in HSM's (hardwarebeveiligingsmodules) die zijn beveiligd met software of hardware. U kunt Key Vault ook instellen op automatisch opnieuw toewijzen van certificaten.

Zie Automatische certificaatrotatie inschakelen in een Batch-pool voor een volledige handleiding over het inschakelen van azure Key Vault VM-extensie met door de gebruiker toegewezen beheerde identiteit.

Veelgestelde vragen

• Ondersteunen CloudServiceConfiguration pools de Azure Key Vault-VM-extensie en beheerde identiteit in pools?

  Nee CloudServiceConfiguration pools worden buiten gebruik gesteld op dezelfde datum als de buitengebruikstelling van het Azure Batch-accountcertificaat op 29 februari 2024. We raden u aan om vóór die datum te migreren naar VirtualMachineConfiguration pools waar u deze oplossingen kunt gebruiken.

• Ondersteunen pooltoewijzingsaccounts voor gebruikersabonnementen Batch-accounts Azure Key Vault?

  Ja. U kunt dezelfde Sleutelkluis gebruiken als die is opgegeven met uw Batch-account voor gebruik met uw pools, maar uw Key Vault die wordt gebruikt voor certificaten voor uw Batch-pools, is mogelijk volledig gescheiden.

• Worden zowel Linux- als Windows Batch-pools ondersteund met de Key Vault-VM-extensie?

  Ja. Raadpleeg de documentatie voor Windows en Linux.

• Kunt u bestaande pools bijwerken met een Key Vault VM-extensie?

  Nee, deze eigenschappen kunnen niet worden bijgewerkt in de pool. U moet pools opnieuw maken.

• Hoe kan ik verwijzingen naar certificaten ophalen in Linux Batch-pools, omdat $AZ_BATCH_CERTIFICATES_DIR deze worden verwijderd?

  Met de Key Vault-VM-extensie voor Linux kunt u het certificateStoreLocation, een absoluut pad naar de locatie waar het certificaat wordt opgeslagen, opgeven. De Key Vault-VM-extensie heeft het bereik van certificaten die op de opgegeven locatie zijn geïnstalleerd met alleen superuserbevoegdheden (root). U moet ervoor zorgen dat uw taken standaard worden uitgevoerd om toegang te krijgen tot deze certificaten, of de certificaten rechtstreeks naar een toegankelijk certificaatbestand kopiëren en/of certificaatbestanden aanpassen met de juiste bestandsmodi. U kunt dergelijke opdrachten uitvoeren als onderdeel van een taak met verhoogde bevoegdheid of taakvoorbereidingstaak.

• Hoe kan ik bestanden installeren .cer die geen persoonlijke sleutels bevatten?

  Key Vault beschouwt deze bestanden niet als bevoegd omdat ze geen persoonlijke-sleutelgegevens bevatten. U kunt bestanden installeren .cer met een van de volgende methoden. Gebruik Key Vault-geheimen met de juiste toegangsbevoegdheden voor de bijbehorende door de gebruiker toegewezen beheerde identiteit en haal het .cer bestand op als onderdeel van uw starttaak om te installeren. U kunt het .cer bestand ook opslaan als een Azure Storage-blob en verwijzen als een Batch-resourcebestand in uw begintaak om te installeren.

• Hoe kan ik toegang tot de Key Vault-extensie geïnstalleerd certificaten voor niet-beheerderspoolidentiteiten op taakniveau?

  Autousers op taakniveau worden op aanvraag gemaakt en kunnen niet worden gedefinieerd voor het opgeven van de eigenschap in de accounts Key Vault VM-extensie. U hebt een aangepast proces nodig waarmee het vereiste certificaat naar een algemeen toegankelijk archief of ACL's wordt geëxporteerd voor toegang door automatische gebruikers op taakniveau.

• Waar vind ik best practices voor het gebruik van Azure Key Vault?

  Zie best practices voor Azure Key Vault.

Volgende stappen

Zie Toegangsbeheer voor Key Vault-certificaten voor meer informatie. Zie Azure Batch-poolextensies en beheerde identiteit van Azure Batch Pool voor meer informatie over Batch-functionaliteit met betrekking tot deze migratie.