Uso de identidades administradas para Azure Content Delivery Network para acceder a certificados de Azure Key Vault

Importante

Azure CDN Estándar de Microsoft (clásico) se retirará el 30 de septiembre de 2027. Para evitar interrupciones del servicio, es importante que migre los perfiles de Azure CDN Estándar de Microsoft (clásico) a los nivel Estándar o Prémium de Azure Front Door antes del 30 de septiembre de 2027. Para más información, consulte Retirada de Azure CDN Estándar de Microsoft (clásico).

Azure CDN de Edgio se retirará el 4 de noviembre de 2025 . Debe migrar la carga de trabajo a Azure Front Door antes de esta fecha para evitar interrupciones del servicio. Para más información, consulte Preguntas frecuentes sobre retirada de Azure CDN de Edgio.

Una identidad administrada generada por Microsoft Entra ID permite que la instancia de Azure Content Delivery Network acceda fácilmente y de forma segura a otros recursos protegidos de Microsoft Entra, como Azure Key Vault. Azure administra el recurso de identidad, por lo que usted no tiene que crear ni rotar ningún secreto. Para obtener más información sobre las identidades administradas, consulte el artículo sobre Qué son las identidades administradas para recursos de Azure.

Una vez que habilite la identidad administrada para Azure Front Door y conceda los permisos adecuados para acceder al almacén de claves de Azure, Azure Front Door solo usa la identidad administrada para acceder a los certificados. Si no agrega el permiso de identidad administrada a la instancia de Key Vault, se produce un error con la rotación automática de certificados personalizados y al agregar nuevos certificados sin permisos para Key Vault. Si deshabilita la identidad administrada, Azure Front Door recurre al uso de la aplicación de Microsoft Entra configurada originalmente. Esta solución no se recomienda y se retirará en el futuro.

Puede conceder dos tipos de identidades a un perfil de Azure Front Door:

• Una identidad asignada por el sistema está asociada al servicio y se elimina si se elimina el servicio. El servicio solo puede tener una identidad asignada por el sistema.

• Una identidad asignada por el usuario es un recurso de Azure independiente que puede asignarse al servicio. El servicio puede tener varias identidades asignadas por el usuario.

Las identidades administradas son específicas del inquilino de Microsoft Entra donde se hospeda la suscripción de Azure. No se actualizan si una suscripción se mueve a otro directorio. Si se mueve una suscripción, debe volver a crear y configurar la identidad.

Requisitos previos

Para poder configurar la identidad administrada para Azure Front Door, debe tener creado un perfil de Azure Front Door Estándar o Premium. Para crear un nuevo perfil de Azure Front Door, consulte Creación de un perfil de Azure Content Delivery Network.

Habilitación de una entidad administrada

1. Vaya a un perfil de Azure Content Delivery Network existente. Seleccione Identidad en Configuración en el panel de menú izquierdo.

   

2. Seleccione una identidad administrada asignada por el sistema o asignada por el usuario.

   • Sistema asignado: se crea una identidad administrada para el ciclo de vida del perfil de Azure Content Delivery Network y se usa para acceder a Azure Key Vault.

   • Asignada por el usuario: un recurso de identidad administrada independiente que se usa para autenticarse en una instancia de Azure Key Vault y que tiene su propio ciclo de vida.

   Asignado por el sistema

   1. Cambie el Estado a Activado y, a continuación, seleccione Guardar.

      

   2. Se le mostrará un mensaje para confirmar que quiere crear una identidad administrada asignada por el sistema para el perfil de Azure Front Door. Seleccione Sí para confirmar la acción.

      

   3. Una vez creada y registrada la identidad administrada asignada por el sistema con Microsoft Entra ID, puede usar el id. de objeto (entidad de seguridad) para permitir que Azure Front Door acceda a la instancia de Azure Key Vault.

      

   Asignado por el usuario

   Ya debe haber creado una identidad administrada asignada por el usuario. Para crear una nueva identidad, consulte Creación de una identidad administrada asignada por el usuario.

   1. En la pestaña Usuario asignado, seleccione + Agregar para agregar una identidad administrada asignada por el usuario.

      

   2. Busque y seleccione la identidad administrada asignada por el usuario. A continuación, seleccione Agregar para agregar la identidad administrada del usuario al perfil de Azure Content Delivery Network.

      

   3. Verá el nombre de la identidad administrada asignada por el usuario que seleccionó en el perfil de Azure Content Delivery Network.

      

Configuración de la directiva de acceso de Key Vault

1. Vaya a Azure Key Vault. Seleccione Directivas de acceso en Configuración y, luego, seleccione +Crear.

   

2. En la pestaña Permisos de la página Creación de una directiva de acceso, seleccione Enumerar y Obtener para Permisos de secretos. Después, seleccione Siguiente para configurar la pestaña siguiente.

   

3. En la pestaña Entidad de seguridad, pegue el Id. de objeto (entidad de seguridad) si usa una identidad administrada asignada por el sistema o escriba un nombre si usa una identidad administrada asignada por el usuario. Luego, seleccione la pestaña Revisar y crear. La pestaña Aplicación se omite porque Azure Front Door ya está seleccionado.

   

4. Revise la configuración de la directiva de acceso y seleccione Crear para configurarla.

   

Pasos siguientes

• Obtenga información sobre cómo redirigir a los usuarios a HTTPS con el motor de reglas estándar