Udostępnij za pośrednictwem


Uzyskiwanie dostępu do certyfikatów usługi Azure Key Vault przy użyciu tożsamości zarządzanych dla usługi Azure Content Delivery Network

Ważne

Usługa Azure CDN Standard firmy Microsoft (klasyczna) zostanie wycofana 30 września 2027 r. Aby uniknąć zakłóceń w działaniu usługi, należy przeprowadzić migrację profilów usługi Azure CDN Standard z usługi Microsoft (klasycznej) do warstwy Azure Front Door Standard lub Premium do 30 września 2027 r. Aby uzyskać więcej informacji, zobacz Azure CDN Standard from Microsoft (classic) retirement (Wycofanie usługi Azure CDN w warstwie Standardowa z firmy Microsoft (wersja klasyczna).

Usługa Azure CDN z Edgio zostanie wycofana 15 stycznia 2025 r. Przed tą datą należy przeprowadzić migrację obciążenia do usługi Azure Front Door, aby uniknąć przerw w działaniu usługi. Aby uzyskać więcej informacji, zobacz Azure CDN from Edgio retirement FAQ (Usługa Azure CDN from Edgio retirement FAQ).

Tożsamość zarządzana wygenerowana przez usługę Microsoft Entra ID umożliwia wystąpieniu usługi Azure Content Delivery Network łatwe i bezpieczne uzyskiwanie dostępu do innych zasobów chronionych przez firmę Microsoft Entra, takich jak usługa Azure Key Vault. Platforma Azure zarządza zasobem tożsamości, więc nie trzeba tworzyć ani obracać żadnych wpisów tajnych. Aby uzyskać więcej informacji na temat tożsamości zarządzanych, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?.

Po włączeniu tożsamości zarządzanej dla usługi Azure Front Door i przyznaniu odpowiednich uprawnień dostępu do magazynu kluczy platformy Azure usługa Azure Front Door używa tożsamości zarządzanej tylko do uzyskiwania dostępu do certyfikatów. Jeśli nie dodasz uprawnień tożsamości zarządzanej do usługi Key Vault, autorotacja certyfikatu niestandardowego i dodawanie nowych certyfikatów nie powiedzie się bez uprawnień do usługi Key Vault. Jeśli wyłączysz tożsamość zarządzaną, usługa Azure Front Door wróci do korzystania z oryginalnej skonfigurowanej aplikacji Microsoft Entra App. To rozwiązanie nie jest zalecane i zostanie wycofane w przyszłości.

Do profilu usługi Azure Front Door można udzielić dwóch typów tożsamości:

  • Tożsamość przypisana przez system jest powiązana z usługą i jest usuwana, gdy usługa zostanie usunięta. Usługa może mieć tylko jedną tożsamość przypisaną przez system.

  • Tożsamość przypisana przez użytkownika to autonomiczny zasób platformy Azure, który można przypisać do usługi. Usługa może mieć wiele tożsamości przypisanych przez użytkownika.

Tożsamości zarządzane są specyficzne dla dzierżawy firmy Microsoft Entra, w której jest hostowana twoja subskrypcja platformy Azure. Nie są one aktualizowane, jeśli subskrypcja zostanie przeniesiona do innego katalogu. Jeśli subskrypcja zostanie przeniesiona, musisz ponownie utworzyć i ponownie skonfigurować tożsamość.

Wymagania wstępne

Aby można było skonfigurować tożsamość zarządzaną dla usługi Azure Front Door, musisz mieć utworzony profil usługi Azure Front Door w warstwie Standardowa lub Premium. Aby utworzyć nowy profil usługi Azure Front Door, zobacz Tworzenie profilu usługi Azure Content Delivery Network.

Włączanie tożsamości zarządzanej

  1. Przejdź do istniejącego profilu usługi Azure Content Delivery Network. Wybierz pozycję Tożsamość w obszarze Ustawienia w okienku menu po lewej stronie.

    Zrzut ekranu przedstawiający przycisk tożsamości w obszarze ustawień profilu sieci dostarczania zawartości.

  2. Wybierz przypisaną przez system lub tożsamość zarządzaną przypisaną przez użytkownika.

    • Przypisane przez system — tożsamość zarządzana jest tworzona dla cyklu życia profilu usługi Azure Content Delivery Network i służy do uzyskiwania dostępu do usługi Azure Key Vault.

    • Przypisany przez użytkownika — autonomiczny zasób tożsamości zarządzanej służy do uwierzytelniania w usłudze Azure Key Vault i ma własny cykl życia.

    Przypisana przez system

    1. Przełącz pozycję Stan na Włączone, a następnie wybierz pozycję Zapisz.

      Zrzut ekranu przedstawiający stronę konfiguracji tożsamości zarządzanej przypisanej przez system.

    2. Zostanie wyświetlony monit o potwierdzenie, że chcesz utworzyć tożsamość zarządzaną systemu dla profilu usługi Azure Front Door. Wybierz Tak, aby potwierdzić.

      Zrzut ekranu przedstawiający komunikat potwierdzenia tożsamości zarządzanej przypisanej przez system.

    3. Gdy tożsamość zarządzana przypisana przez system zostanie utworzona i zarejestrowana w usłudze Microsoft Entra ID, możesz użyć identyfikatora obiektu (podmiotu zabezpieczeń), aby udzielić usłudze Azure Content Delivery Network dostępu do magazynu kluczy platformy Azure.

      Zrzut ekranu przedstawiający tożsamość zarządzaną przypisaną przez system zarejestrowaną w usłudze Microsoft Entra ID.

    Przypisana przez użytkownika

    Musisz mieć już utworzoną tożsamość zarządzaną użytkownika. Aby utworzyć nową tożsamość, zobacz Tworzenie tożsamości zarządzanej przypisanej przez użytkownika.

    1. Na karcie Przypisane przez użytkownika wybierz pozycję + Dodaj, aby dodać tożsamość zarządzaną przypisaną przez użytkownika.

      Zrzut ekranu przedstawiający stronę konfiguracji tożsamości zarządzanej przypisanej przez użytkownika.

    2. Wyszukaj i wybierz tożsamość zarządzaną przypisaną przez użytkownika. Następnie wybierz pozycję Dodaj , aby dodać tożsamość zarządzaną użytkownika do profilu usługi Azure Content Delivery Network.

      Zrzut ekranu przedstawiający stronę dodawania tożsamości zarządzanej przypisanej przez użytkownika.

    3. Zostanie wyświetlona nazwa wybranej tożsamości zarządzanej przypisanej przez użytkownika w profilu usługi Azure Content Delivery Network.

      Zrzut ekranu przedstawiający dodawanie tożsamości zarządzanej przypisanej przez użytkownika dodanej do profilu usługi Azure Content Delivery Network.

Konfigurowanie zasad dostępu usługi Key Vault

  1. Przejdź do magazynu kluczy platformy Azure. Wybierz pozycję Zasady dostępu w obszarze Ustawienia , a następnie wybierz pozycję + Utwórz.

    Zrzut ekranu przedstawiający stronę zasad dostępu dla magazynu kluczy.

  2. Na karcie Uprawnienia na stronie Tworzenie zasad dostępu wybierz pozycję Lista i Pobierz dla uprawnień wpisów tajnych. Następnie wybierz przycisk Dalej , aby skonfigurować kartę podmiotu zabezpieczeń.

    Zrzut ekranu przedstawiający kartę uprawnień dla zasad dostępu usługi Key Vault.

  3. Na karcie Podmiot zabezpieczeń wklej identyfikator obiektu (podmiot zabezpieczeń), jeśli używasz tożsamości zarządzanej przez system lub wprowadź nazwę, jeśli używasz tożsamości zarządzanej przypisanej przez użytkownika. Następnie wybierz kartę Przeglądanie i tworzenie . Karta Aplikacja jest pomijana, ponieważ usługa Azure Front Door jest już wybrana.

    Zrzut ekranu przedstawiający kartę podmiotu zabezpieczeń zasad dostępu usługi Key Vault.

  4. Przejrzyj ustawienia zasad dostępu, a następnie wybierz pozycję Utwórz , aby skonfigurować zasady dostępu.

    Zrzut ekranu przedstawiający kartę przeglądów i tworzenia zasad dostępu usługi Key Vault.

Następne kroki