使用Azure自动化在{DSC}中正确保护凭证

Question

您将如何继续保护在Azure自动化中正确使用凭据的DSC配置？

例如：

configuration MyServer {
  param(
    [Parameter(Mandatory=$true)][PSCredential]$MyCredential
  );
  # Some configuration using credentials 
}

通常我会在每个节点上设置公钥和适当的证书，并在编译配置文档时将CertificateFile和Thumbprint传递给ConfigurationData。

在Azure自动化中，我找不到任何好的解决方案。

文档说Azure自动化由它自己加密整个MOF：https://azure.microsoft.com/en-us/documentation/articles/automation-certificates/，文章指定使用PSAllowPlainTextCredentials。

当您将节点注册到它的拉服务器并拉动它的配置时，只要您具有本地管理员权限或读取访问权限，您就可以以纯文本形式读出密码。被拉下/更新。从安全角度来看，这不是好的。

我最喜欢的是，理想情况下，将此类公钥/证书上传到Azure自动化凭据，并在启动编译作业时将其用作ConfigurationData的一部分。

然而今天，＆＃34; CertificateFile＆＃34;期望路径而不是AutomationCertificate，因此我看不到使用Azure自动化中存在的任何公钥启动compilationjob的方法。在运行这份工作时，我无法看到任何引用我的资产证书的方法。

如果可以在Azure自动化的当前状态下使用DSC /使用资源商店使用Azure自动化或Azure密钥保管库来正确保护它的方式，那么是否有任何想法？

Answer 1

您应该创建Azure自动化凭据并在配置中引用它，如下所示：

# Compile mof
$ConfigurationData = @{ 
    AllNodes = @(
        @{
            NodeName = $nodeName
            PSDscAllowPlainTextPassword = $true
        }
    )
}

$Parameters = @{
    "nodeName" = $nodeName
    "credential" = $credName ##### Notice this is only the name on Azure Automation Credential Asset, Azure Automation will securely pull those and use in the compilation
}

Start-AzureRmAutomationDscCompilationJob -ResourceGroupName $ResourceGroupName -AutomationAccountName $AutomationAccountName `
    -ConfigurationName $configurationName -Parameters $Parameters -ConfigurationData $ConfigurationData 

您不应该担心PSDscAllowPlainTextPassword，因为Azure自动化确实为您加密了所有内容，它只是DSC不知道（因此您必须将其提供给DSC发动机）。

在DSC中你应该有类似的东西：

Configuration name
    {   
        Param (
        [Parameter(Mandatory)][ValidateNotNullOrEmpty()][String]$nodeName,
        [Parameter(Mandatory)][ValidateNotNullOrEmpty()][pscredential]$credential
        )

        Import-DscResource -Module modules

        Node $nodeName {DOSTUFF}
}

Answer 2

将凭证从Azure自动化传递到DSC文件的正确方法是使用Azure自动化凭据。

然后在DSC文件中使用命令Get-AutomationPSCredential

示例：

Configuration BaseDSC
{

    Import-DscResource -ModuleName xActiveDirectory
    Import-DscResource -ModuleName PSDesiredStateConfiguration
    Import-DscResource -ModuleName XNetworking

    $Credential = Get-AutomationPSCredential -Name "CredentialName"

    Node $AllNodes.Nodename
    { ...

凭据在Azure自动化中加密存储，并在运行编译作业时放入Azure自动化中的加密MOF文件中。

此外，可以在Azure自动化中更新密码，然后通过重新编译在MOF中更新密码。

无法从Azure以明文检索密码。

Answer 3

使用安全凭据并创建Windows服务器用户，然后使用dsc将其添加到Administrator组：

**解决方案（PowerShell DSC）**

首先：通过天蓝色门户或使用任何天蓝色模块在自动化帐户中创建凭据 主页>资源组> ...>自动化帐户>凭据

Configuration user_windows_user
{
    param
    (     
    [Parameter()][string]$username,
    [Parameter()]$azurePasswordCred  **#name (string)of the credentials**
  )

   $passwordCred = Get-AutomationPSCredential -Name $azurePasswordCred
   Node "localhost"
   {
         User UserAdd
        {
            Ensure = "Present"  # To ensure the user account does not exist, set Ensure to "Absent"
            UserName = $username
            FullName = "$username-fullname"
            PasswordChangeRequired = $false
            PasswordNeverExpires = $false
            Password = $passwordCred # This needs to be a credential object

        }
        Group AddtoAdministrators
        {
           GroupName = "Administrators"
           Ensure = "Present"
           MembersToInclude = @($username)
        }

   }
} # end of Configuration 

#
$cd = @{
    AllNodes = @(
        @{
            NodeName = 'localhost'
            PSDscAllowPlainTextPassword = $true
        }
    )
}

• 以azure automation>配置上传Dsc文件
• 编译配置（提供输入-username，凭据名称（字符串）
• 将配置添加到节点并等待配置部署