Migrar certificados da conta do Lote para o Azure Key Vault
Em 29 de fevereiro de 2024, o recurso de certificados da conta do Lote do Azure será desativado. Saiba como migrar seus certificados em contas do Lote do Azure usando o Azure Key Vault neste artigo.
Sobre o recurso
Certificados costumam ser necessários em vários cenários, como descriptografar um segredo, proteger canais de comunicação ou acessar outro serviço. Atualmente, o Lote do Azure oferece duas maneiras de gerenciar certificados em pools do Lote. Você pode adicionar certificados a uma conta do Lote ou pode usar a extensão de VM do Azure Key Vault para gerenciar certificados em pools do Lote. Somente a funcionalidade de certificado em uma conta do Lote do Azure e a funcionalidade que ela estende aos pools do Lote por meio de CertificateReference para Adicionar Pool, Aplicar Patch ao Pool, Atualizar Propriedades e as referências correspondentes nas APIs Obter e Listar Pool estão sendo desativadas. Além disso, para pools do Linux, a variável de ambiente $AZ_BATCH_CERTIFICATES_DIR não será mais definida e preenchida.
Fim do suporte ao recurso
O Azure Key Vault é o mecanismo padrão recomendado para armazenar e acessar segredos e certificados em todo o Azure com segurança. Portanto, em 29 de fevereiro de 2024, desativaremos o recurso de certificados de conta do Lote no Lote do Azure. A alternativa é usar a Extensão de VM do Azure Key Vault e uma identidade gerenciada atribuída pelo usuário no pool para acessar e instalar certificados com segurança em seus pools do Lote.
Depois que o recurso de certificados no Lote do Azure for desativado em 29 de fevereiro de 2024, um certificado no Lote não funcionará conforme o esperado. Após essa data, você não poderá mais adicionar certificados a uma conta do Lote ou vincular esses certificados aos pools do Lote. Pools que continuarem usando esse recurso após essa data poderão não se comportar como esperado, por exemplo, atualizar referências de certificado ou a capacidade de instalar referências de certificado existentes.
Alternativa: usar a extensão de VM do Azure Key Vault com uma identidade gerenciada atribuída pelo usuário
O Azure Key Vault é um serviço do Azure totalmente gerenciado que fornece acesso controlado para armazenar e gerenciar segredos, certificados, tokens e chaves. O Key Vault fornece segurança na camada de transporte, garantindo que os fluxos de dados do cofre de chaves para o aplicativo cliente seja criptografado. O Azure Key Vault proporciona uma maneira segura de armazenar informações de acesso essenciais e definir o controle de acesso refinado. Você pode gerenciar todos os segredos de um painel. Opte por armazenar uma chave em HSMs (módulos de segurança de hardware) protegidos por software ou por hardware. Você também pode definir o Cofre de Chaves para renovar certificados automaticamente.
Para obter um guia completo de como habilitar a Extensão de VM do Azure Key Vault com a Identidade Gerenciada atribuída pelo usuário do pool, consulte Habilitar a rotação automática de certificados em um pool do Lote.
Perguntas frequentes
Os pools
CloudServiceConfigurationdão suporte à extensão de VM do Azure Key Vault e à identidade gerenciada em pools?Não. Os pools
CloudServiceConfigurationserão desativados na mesma data em de desativação do certificado de conta do Lote do Azure, em 29 de fevereiro de 2024. Recomendamos que você migre paraVirtualMachineConfigurationpools antes dessa data, onde poderá usar essas soluções.As contas do Lote de alocação do pool de assinaturas do usuário dão suporte ao Azure Key Vault?
Sim. Você pode usar o mesmo Key Vault especificado com sua conta do Lote para uso com seus pools, mas o Key Vault usado para certificados para seus pools do Lote pode ser totalmente separado.
Há suporte para pools do Lote do Linux e do Windows com a extensão de VM do Key Vault?
É possível atualizar pools existentes com uma extensão de VM do Cofre de Chaves?
Não, essas propriedades não podem ser atualizadas no pool. Você precisa recriar pools.
Como obter referências a certificados em pools do Lote do Linux, já que
$AZ_BATCH_CERTIFICATES_DIRserão removidos?A extensão VM do Cofre de Chaves para Linux permite especificar o , que é um caminho absoluto para onde o
certificateStoreLocationcertificado está armazenado. A extensão de VM do Cofre de Chaves definirá o escopo de certificados instalados no local especificado com apenas privilégios de superusuário (raiz). Você precisa certificar-se de que suas tarefas sejam executadas com privilégios elevados para acessar esses certificados por padrão ou copiar os certificados para um acessível diretamente e/ou ajustar os arquivos de certificado com os modos de arquivo adequados. Você pode executar esses comandos como parte de uma tarefa de início elevado ou tarefa de preparação de trabalho.Como faço para instalar
.cerarquivos que não contêm chaves privadas?O Cofre de Chaves não considera esses arquivos privilegiados, pois eles não contêm informações de chave privada. Você pode instalar
.cerarquivos usando um dos seguintes métodos. Use os segredos do Cofre de Chaves com privilégios de acesso apropriados para a Identidade Gerenciada atribuída pelo Usuário associada e busque o.cerarquivo como parte da tarefa inicial de instalação. Como alternativa, armazene o.cerarquivo como um Blob de Armazenamento do Azure e faça referência como um arquivo de recurso em lote na tarefa inicial a ser instalada.Como faço para acessar certificados instalados da extensão do Cofre de Chaves para identidades de pool de usuários automáticos não administradores em nível de tarefa?
Os usuários automáticos no nível da tarefa são criados sob demanda e não podem ser predefinidos para especificar na
accountspropriedade na extensão VM do Cofre da Chave. Você precisará de um processo personalizado que exporte o certificado necessário para um repositório comumente acessível ou ACLs apropriadamente para acesso por usuários automáticos no nível da tarefa.Onde posso encontrar as melhores práticas para usar o Azure Key Vault?
Consulte as Melhores práticas do Azure Key Vault.
Próximas etapas
Para obter mais informações, confira Controle de acesso ao certificado do Key Vault. Para obter mais informações sobre a funcionalidade do Lote relacionada a essa migração, consulte Extensões do Pool do Lote do Azure e Identidade Gerenciada do Pool do Lote do Azure.