Použití spravovaných identit pro Azure Content Delivery Network pro přístup k certifikátům služby Azure Key Vault
Důležité
30. září 2027 bude vyřazena služba Azure CDN Standard od Microsoftu (Classic). Abyste se vyhnuli přerušení služeb, je důležité do 30. září 2027 migrovat profily Azure CDN Standard z Microsoftu (classic) na úroveň Azure Front Door Standard nebo Premium. Další informace najdete v tématu Azure CDN Standard od Microsoftu (klasického) vyřazení.
Azure CDN z Edgio bude vyřazeno z Januray 15, 2025. Před tímto datem musíte migrovat úlohu do služby Azure Front Door, abyste se vyhnuli přerušení služeb. Další informace najdete v tématu Azure CDN z nejčastějších dotazů k vyřazení Edgio.
Spravovaná identita generovaná id Microsoft Entra umožňuje vaší instanci služby Azure Content Delivery Network snadno a bezpečně přistupovat k dalším prostředkům chráněným Microsoft Entra, jako je Azure Key Vault. Azure spravuje prostředek identity, takže nemusíte vytvářet ani obměňovat tajné kódy. Další informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure?
Jakmile povolíte spravovanou identitu pro Azure Front Door a udělíte správná oprávnění pro přístup k trezoru klíčů Azure, Azure Front Door pro přístup k certifikátům používá jenom spravovanou identitu. Pokud ke službě Key Vault nepřidáte oprávnění ke spravované identitě, vlastní autorotace certifikátů a přidání nových certifikátů selže bez oprávnění ke službě Key Vault. Pokud spravovanou identitu zakážete, Azure Front Door se vrátí k použití původní nakonfigurované aplikace Microsoft Entra. Toto řešení se nedoporučuje a v budoucnu bude vyřazeno.
Profil služby Azure Front Door můžete udělit dvěma typům identit:
Identita přiřazená systémem je svázaná s vaší službou a při odstranění služby se odstraní. Služba může mít pouze jednu identitu přiřazenou systémem.
Identita přiřazená uživatelem je samostatný prostředek Azure, který je možné přiřadit k vaší službě. Služba může mít více identit přiřazených uživatelem.
Spravované identity jsou specifické pro tenanta Microsoft Entra, kde je vaše předplatné Azure hostované. Neaktualizují se, pokud se předplatné přesune do jiného adresáře. Pokud se předplatné přesune, musíte identitu znovu vytvořit a znovu nakonfigurovat.
Požadavky
Než budete moct nastavit spravovanou identitu pro Azure Front Door, musíte mít vytvořený profil Azure Front Door Standard nebo Premium. Pokud chcete vytvořit nový profil služby Azure Front Door, přečtěte si téma Vytvoření profilu služby Azure Content Delivery Network.
Povolení spravované identity
Přejděte do existujícího profilu služby Azure Content Delivery Network. V části Nastavení v podokně nabídek na levé straně vyberte Možnost Identita.
Vyberte spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem.
Přiřazený systém – spravovaná identita se vytvoří pro životní cyklus profilu služby Azure Content Delivery Network a slouží k přístupu ke službě Azure Key Vault.
Přiřazený uživatel – k ověření ve službě Azure Key Vault se používá samostatný prostředek spravované identity a má vlastní životní cyklus.
Přiřazená systémem
Přepněte stav na Zapnuto a pak vyberte Uložit.
Zobrazí se výzva se zprávou, že chcete pro svůj profil Služby Azure Front Door vytvořit spravovanou identitu systému. Potvrďte výběrem možnosti Ano.
Jakmile se spravovaná identita přiřazená systémem vytvoří a zaregistruje pomocí ID Microsoft Entra, můžete pomocí ID objektu (objektu) udělit službě Azure Content Delivery Network přístup k vašemu trezoru klíčů Azure.
Přiřazená uživatelem
Už musíte mít vytvořenou identitu spravovanou uživatelem. Pokud chcete vytvořit novou identitu, přečtěte si téma Vytvoření spravované identity přiřazené uživatelem.
Na kartě Přiřazené uživatelem vyberte + Přidat a přidejte spravovanou identitu přiřazenou uživatelem.
Vyhledejte a vyberte spravovanou identitu přiřazenou uživatelem. Potom vyberte Přidat a přidejte identitu spravovanou uživatelem do profilu služby Azure Content Delivery Network.
Zobrazí se název spravované identity přiřazené uživatelem, kterou jste vybrali v profilu služby Azure Content Delivery Network.
Konfigurace zásad přístupu ke službě Key Vault
Přejděte do trezoru klíčů Azure. V části Nastavení vyberte Zásady přístupu a pak vyberte + Vytvořit.
Na kartě Oprávnění na stránce Vytvořit zásadu přístupu vyberte Možnost Seznam a Získat oprávnění pro tajný kód. Pak vyberte Další a nakonfigurujte kartu objektu zabezpečení.
Na kartě Objekt zabezpečení vložte ID objektu (objektu zabezpečení), pokud používáte spravovanou identitu systému, nebo zadejte název, pokud používáte spravovanou identitu přiřazenou uživatelem. Pak vyberte Zkontrolovat a vytvořit kartu. Karta Aplikace se přeskočí, protože už je vybraná služba Azure Front Door.
Zkontrolujte nastavení zásad přístupu a pak vyberte Vytvořit a nastavte zásady přístupu.
Další kroky
- Zjistěte, jak přesměrovat uživatele na HTTPS pomocí modulu pravidel Standard.