Administre los secretos de la implementación de las Operaciones IoT de Azure

Operaciones de IoT de Azure utiliza Azure Key Vault como solución de almacén administrado en la nube y utiliza la extensión de almacén secreto de Azure Key Vault para Kubernetes para sincronizar los secretos desde la nube y almacenarlos en el borde como secretos de Kubernetes. Los recursos perimetrales, como conectores y flujos de datos, pueden usar estos secretos para la autenticación al conectarse a sistemas externos.

Entre los ejemplos de secretos que puede almacenar en Azure Key Vault para su uso por Operaciones de IoT de Azure se incluyen:

Nombres de usuario y contraseñas para sistemas externos en los que los conectores o flujos de datos deben autenticarse.
Certificados X.509 y claves privadas para dispositivos o servicios que usan TLS mutua (mTLS).

Requisitos previos

Para administrar secretos, necesita una instancia de Operaciones de IoT de Azure implementada con la configuración segura. Si ha implementado Operaciones de Azure IoT con la configuración de prueba, primero debe habilitar la configuración segura.

Configuración de permisos de Azure Key Vault

Para usar la experiencia de operaciones para crear secretos en el almacén de claves, el usuario requiere permisos del Oficial de secretos de Key Vault en el nivel de recurso de Azure.

En un entorno de prueba o desarrollo, siga estos pasos para asignar el rol De oficial de secretos de Key Vault al usuario en el nivel de grupo de recursos en el que se implementan la instancia de Operaciones de IoT de Azure y la instancia de Azure Key Vault:

Para buscar el nombre del grupo de recursos, vaya a la interfaz de usuario web de la experiencia de operaciones , vaya a la página Instancias y busque la instancia de Operaciones de IoT de Azure. El nombre del grupo de recursos se muestra en el campo Grupo de recursos.
Vaya a Azure Portal y, a continuación, vaya al grupo de recursos donde se implementa la instancia de Operaciones de IoT de Azure y la instancia de Azure Key Vault.

Sugerencia

Use el cuadro de búsqueda en la parte superior de Azure Portal para encontrar rápidamente el grupo de recursos escribiendo el nombre.
Seleccione Control de acceso (IAM) en el menú izquierdo. Seleccione Agregar + >Agregar asignación de roles.
En la pestaña Rol , seleccione Key Vault Secrets Officer en la lista de roles y, a continuación, seleccione Siguiente.
En la pestaña Miembros , seleccione Usuario, grupo o entidad de servicio, seleccione Seleccionar miembros, seleccione el usuario al que desea asignar el rol Oficial de secretos de Key Vault y, a continuación, seleccione Siguiente.
Seleccione Revisar y asignar para completar la asignación de roles.

En un entorno de producción, siga los procedimientos recomendados para proteger Azure Key Vault que se usa con Operaciones de IoT de Azure. Para más información, consulte Procedimientos recomendados para usar Azure Key Vault.

Adición y uso de secretos

La administración de secretos para operaciones de Azure IoT usa la extensión de almacén de secretos de Azure Key Vault para sincronizar los secretos de un Azure Key Vault y almacenarlos en el borde como secretos de Kubernetes. Al habilitar la configuración segura durante la implementación, ha seleccionado una instancia de Azure Key Vault para la administración de secretos. En esta instancia de Key Vault, se almacenan todos los secretos que se usarán en Operaciones de IoT de Azure.

Nota

Las instancias de Operaciones de IoT de Azure solo funcionan con una instancia de Azure Key Vault; no se admiten varios almacenes de claves por instancia.

Una vez completados los pasos para configurar la administración de secretos, puede agregar secretos a Azure Key Vault y sincronizarlos con el clúster de Kubernetes para usarlos en puntos de conexión de entrada del dispositivo o puntos de conexión de flujo de datos. Los secretos suelen ser nombres de usuario, contraseñas, certificados o claves privadas necesarias para la autenticación en sistemas externos.

Puede crear un secreto sincronizado en el clúster mediante la interfaz de usuario web de la experiencia de operaciones o el CLI de Azure. Los dos flujos se superponen parcialmente: la experiencia de operaciones puede cargar un nuevo valor en Azure Key Vault y sincronizarlo con el clúster, mientras que el flujo de CLI de Azure supone que el secreto ya existe en Azure Key Vault y solo controla la sincronización:

En esta sección se utilizan los endpoints de entrada del dispositivo con autenticación mediante nombre de usuario y contraseña como ejemplo. El mismo proceso se aplica a los puntos de conexión de flujo de datos.

Experiencia de operaciones
CLI de Azure

La experiencia de operaciones puede cargar un nuevo valor para un nombre de usuario o una contraseña en Azure Key Vault y sincronizarlo con el clúster en un paso o sincronizar un secreto de Key Vault existente en el clúster.

Vaya a la página Puntos de conexión de entrada de dispositivo en la interfaz de usuario web de la experiencia de operaciones.
Para agregar una nueva referencia de secreto, seleccione Agregar referencia al crear un nuevo punto de conexión de entrada de dispositivo:
- Crear un nuevo secreto: crea un secreto en Azure Key Vault y sincroniza el secreto con el clúster mediante la extensión del almacén de secretos.
- Agregar desde Azure Key Vault: sincroniza un secreto existente en el almacén de claves hasta el clúster si no estaba sincronizado antes. Al seleccionar esta opción se muestra la lista de secretos en el almacén de claves seleccionado. Solo se sincroniza la versión más reciente del secreto con el clúster.
Al agregar las referencias de nombre de usuario y contraseña a los dispositivos o puntos de conexión de flujo de datos, debe asignar un nombre al secreto sincronizado. Las referencias de secretos se almacenan en el clúster bajo este nombre, actuando como un único recurso de sincronización de secretos. En el ejemplo de la captura de pantalla siguiente, las referencias de nombre de usuario y contraseña se guardan en el clúster como edp1secrets.

El flujo de CLI de Azure supone que los valores ya están almacenados como secretos en Azure Key Vault. Para obtener información sobre cómo agregar secretos a Azure Key Vault, consulte Agregar secretos a Azure Key Vault.

Use az iot ops secretsync secret set para crear un secreto sincronizado en el clúster que asigna uno o varios secretos de Key Vault a claves dentro del secreto sincronizado. En el ejemplo siguiente se crea un secreto sincronizado denominado my-endpoint-creds que asigna los secretos de Key Vault my-kv-username y my-kv-password a las claves username y password:

az iot ops secretsync secret set \
  --instance <your-instance-name> \
  --resource-group <your-resource-group> \
  --name my-endpoint-creds \
  --secret target=username source=my-kv-username \
  --secret target=password source=my-kv-password

Para hacer referencia al secreto sincronizado desde un endpoint entrante del dispositivo, use la forma <synced-secret-name>/<key>. Por ejemplo:

CLI de Azure: pasa --user-ref my-endpoint-creds/username y --pass-ref my-endpoint-creds/password al comando az iot ops ns device endpoint inbound add.
Bicep: establezca usernameSecretName: 'my-endpoint-creds/username' y passwordSecretName: 'my-endpoint-creds/password' en el bloque usernamePasswordCredentials.

Sincronización de un certificado de cliente y una clave privada para TLS mutua

Varios conectores son compatibles con la autenticación mTLS para orígenes de datos southbound. Con mTLS, el conector presenta un certificado de cliente y una clave privada al punto de conexión de entrada sur para autenticarse a sí mismo, además de validar el certificado TLS del servidor. Actualmente, los siguientes conectores admiten mTLS para fuentes de datos southbound:

Otros conectores, como el conector para medios y el conector para ONVIF, no admiten actualmente mTLS en orígenes de datos de entrada sur.

Para configurar mTLS en el punto de conexión de entrada del dispositivo, haga referencia a un secreto sincronizado en el clúster que contiene el certificado de cliente y la clave privada. Puede crear el secreto sincronizado con la interfaz de operaciones o con la CLI de Azure. Seleccione la pestaña que coincida con la herramienta que desea usar.

Experiencia de operaciones
CLI de Azure

Al crear el punto de conexión de entrada y elegir el modo de autenticación de certificado X509, puede cargar un nuevo certificado y una clave privada (la experiencia de operaciones los carga en Azure Key Vault y los sincroniza) o seleccionar secretos existentes de Key Vault para sincronizarlos.

El flujo de CLI de Azure supone que el certificado y la clave privada ya están almacenados como secretos en Azure Key Vault. Usa az iot ops secretsync secret set para crear un único secreto sincronizado en el clúster que asocia los secretos de Key Vault a las claves dentro del secreto sincronizado.

Para agregar los archivos de certificado y clave privada como secretos a Azure Key Vault antes de sincronizarlos, consulte Agregar secretos a Azure Key Vault.

En el ejemplo siguiente se crea un secreto sincronizado denominado my-endpoint-cert que asigna los secretos de Key Vault my-kv-client-cert y my-kv-client-key a las claves certificate y privateKey:

az iot ops secretsync secret set \
  --instance <your-instance-name> \
  --resource-group <your-resource-group> \
  --name my-endpoint-cert \
  --secret target=certificate source=my-kv-client-cert \
  --secret target=privateKey source=my-kv-client-key

Si el extremo sur requiere certificados intermedios, agregue una tercera asignación --secret target=intermediateCerts source=<my-kv-intermediate-certs>.

Para referirse al secreto sincronizado desde el endpoint de entrada del dispositivo, use el formato <synced-secret-name>/<key>. Por ejemplo:

CLI de Azure: pase --cert-ref my-endpoint-cert/certificate y --key-ref my-endpoint-cert/privateKey como parámetros a az iot ops ns device endpoint inbound add. Para incluir certificados intermedios, pase también --icr my-endpoint-cert/intermediateCerts.

Bicep: establezca method: 'Certificate' y haga referencia al secreto sincronizado en el bloque x509Credentials:

authentication: {
    method: 'Certificate'
        x509Credentials: {
            certificateSecretName: 'my-endpoint-cert/certificate'
            keySecretName: 'my-endpoint-cert/privateKey'
        }
}

Administración de secretos sincronizados

En esta sección se usan puntos de conexión de entrada de dispositivo como ejemplo. El mismo proceso se puede aplicar a los puntos de conexión de flujo de datos:

Vaya a la página Dispositivos en la interfaz de usuario web de la experiencia de operaciones.
Para ver la lista de secretos, seleccione Administrar certificados y secretos y, a continuación, Secretos:

Puede usar la página Secretos para ver los secretos sincronizados en los dispositivos y los puntos de conexión de flujo de datos. La página Secretos muestra la lista de todos los secretos sincronizados actuales en el perímetro del recurso que está viendo. Un secreto sincronizado representa una o varias referencias de secretos, según el recurso que lo use. Cualquier operación aplicada a un secreto sincronizado se aplica a todas las referencias secretas contenidas en el secreto sincronizado.

Puede eliminar secretos sincronizados de la página Secretos . Al eliminar un secreto sincronizado, solo elimina el secreto sincronizado del clúster de Kubernetes y no elimina la referencia de secreto independiente de Azure Key Vault. Debe eliminar manualmente el secreto de certificado del almacén de claves.

También puede usar el CLI de Azure para ver los secretos sincronizados en el clúster:

Para enumerar los recursos secretos sincronizados en el clúster, use az iot ops secretsync list.
Para listar las referencias individuales a secretos de Key Vault dentro de un secreto sincronizado, use az iot ops secretsync secret list.

Advertencia

La edición directa de los recursos personalizados SecretProviderClass y SecretSync en el clúster de Kubernetes puede interrumpir el flujo de secretos en operaciones de Azure IoT. Para cualquier operación relacionada con secretos, utilice la interfaz web de la experiencia operativa.

Antes de eliminar un secreto sincronizado, asegúrese de que se quiten todas las referencias al secreto de los componentes de Operaciones de IoT de Azure.

Adición de secretos a Azure Key Vault

Si usa la experiencia de operaciones para seleccionar los secretos existentes que se agregaron anteriormente a Azure Key Vault, asegúrese de que los secretos están en un formato y codificación compatibles con Operaciones de IoT de Azure.

Para agregar un secreto de certificado PEM a Azure Key Vault, puede usar un comando como el ejemplo siguiente:

az keyvault secret set \
  --vault-name <your-key-vault-name> \
  --name client-cert-pem \
  --file ./client-cert.pem \
  --encoding hex \
  --content-type 'application/x-pem-file'

Para agregar un secreto de certificado DER binario a Azure Key Vault, puede usar un comando como el ejemplo siguiente:

az keyvault secret set \
  --vault-name <your-key-vault-name> \
  --name cert-file-der \
  --file ./cert-file.der \
  --encoding hex \
  --content-type 'application/pkix-cert'

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-05-21