Udostępnij za pośrednictwem


Uzyskiwanie dostępu do certyfikatów usługi Azure Key Vault przy użyciu tożsamości zarządzanych

Tożsamości zarządzane udostępniane przez usługę Microsoft Entra ID umożliwiają wystąpieniu usługi Azure Front Door bezpieczne uzyskiwanie dostępu do innych chronionych zasobów firmy Microsoft Entra, takich jak usługa Azure Key Vault, bez konieczności zarządzania poświadczeniami. Aby uzyskać więcej informacji, zobacz Czym są tożsamości zarządzane dla zasobów platformy Azure?.

Uwaga

Obsługa tożsamości zarządzanej w usłudze Azure Front Door jest ograniczona do uzyskiwania dostępu do usługi Azure Key Vault. Nie można jej używać do uwierzytelniania z usługi Front Door do źródeł, takich jak blob Storage lub Web Apps.

Po włączeniu tożsamości zarządzanej dla usługi Azure Front Door i udzieleniu niezbędnych uprawnień do usługi Azure Key Vault usługa Front Door będzie używać tożsamości zarządzanej do uzyskiwania dostępu do certyfikatów. Bez tych uprawnień autorotacja certyfikatu niestandardowego i dodawanie nowych certyfikatów kończy się niepowodzeniem. Jeśli tożsamość zarządzana jest wyłączona, usługa Azure Front Door powróci do korzystania z oryginalnej skonfigurowanej aplikacji Microsoft Entra App, która nie jest zalecana i zostanie wycofana w przyszłości.

Usługa Azure Front Door obsługuje dwa typy tożsamości zarządzanych:

  • Tożsamość przypisana przez system: ta tożsamość jest powiązana z usługą i jest usuwana, jeśli usługa zostanie usunięta. Każda usługa może mieć tylko jedną tożsamość przypisaną przez system.
  • Tożsamość przypisana przez użytkownika: jest to autonomiczny zasób platformy Azure, który można przypisać do usługi. Każda usługa może mieć wiele tożsamości przypisanych przez użytkownika.

Tożsamości zarządzane są specyficzne dla dzierżawy firmy Microsoft Entra, w której jest hostowana twoja subskrypcja platformy Azure. Jeśli subskrypcja zostanie przeniesiona do innego katalogu, musisz ponownie utworzyć i ponownie skonfigurować tożsamość.

Dostęp do usługi Azure Key Vault można skonfigurować przy użyciu kontroli dostępu opartej na rolach (RBAC) lub zasad dostępu.

Wymagania wstępne

Przed skonfigurowaniem tożsamości zarządzanej dla usługi Azure Front Door upewnij się, że masz profil usługi Azure Front Door Standard lub Premium. Aby utworzyć nowy profil, zobacz Tworzenie usługi Azure Front Door.

Włączanie tożsamości zarządzanej

  1. Przejdź do istniejącego profilu usługi Azure Front Door. Wybierz pozycję Tożsamość w obszarze Zabezpieczenia w menu po lewej stronie.

    Zrzut ekranu przedstawiający przycisk tożsamości w obszarze ustawień profilu usługi Front Door.

  2. Wybierz tożsamość zarządzaną przypisaną przez system lub przypisaną przez użytkownika.

    • Przypisano system — tożsamość zarządzana powiązana z cyklem życia profilu usługi Azure Front Door używana do uzyskiwania dostępu do usługi Azure Key Vault.

    • Przypisany przez użytkownika — autonomiczny zasób tożsamości zarządzanej z własnym cyklem życia używany do uwierzytelniania w usłudze Azure Key Vault.

    Przypisana przez system

    1. Przełącz pozycję Stan na Wł. , a następnie wybierz pozycję Zapisz.

      Zrzut ekranu przedstawiający stronę konfiguracji tożsamości zarządzanej przypisanej przez system.

    2. Potwierdź utworzenie tożsamości zarządzanej systemu dla profilu usługi Front Door, wybierając pozycję Tak po wyświetleniu monitu.

      Zrzut ekranu przedstawiający komunikat potwierdzenia tożsamości zarządzanej przypisanej przez system.

    3. Po utworzeniu i zarejestrowaniu w usłudze Microsoft Entra ID użyj identyfikatora obiektu (podmiotu zabezpieczeń), aby udzielić usłudze Azure Front Door dostępu do usługi Azure Key Vault.

      Zrzut ekranu przedstawiający tożsamość zarządzaną przypisaną przez system zarejestrowaną w usłudze Microsoft Entra ID.

    Przypisana przez użytkownika

    Aby użyć tożsamości zarządzanej przypisanej przez użytkownika, musisz mieć już utworzoną tożsamość. Aby uzyskać instrukcje dotyczące tworzenia nowej tożsamości, zobacz tworzenie tożsamości zarządzanej przypisanej przez użytkownika.

    1. Na karcie Przypisano użytkownika wybierz pozycję + Dodaj, aby dodać tożsamość zarządzaną przypisaną przez użytkownika.

      Zrzut ekranu przedstawiający stronę konfiguracji tożsamości zarządzanej przypisanej przez użytkownika.

    2. Wyszukaj i wybierz tożsamość zarządzaną przypisaną przez użytkownika. Następnie wybierz pozycję Dodaj , aby dołączyć go do profilu usługi Azure Front Door.

      Zrzut ekranu przedstawiający stronę dodawania tożsamości zarządzanej przypisanej przez użytkownika.

    3. Nazwa wybranej tożsamości zarządzanej przypisanej przez użytkownika jest wyświetlana w profilu usługi Azure Front Door.

      Zrzut ekranu przedstawiający tożsamość zarządzaną przypisaną przez użytkownika dodaną do profilu usługi Front Door.


Konfigurowanie dostępu do usługi Key Vault

Dostęp do usługi Azure Key Vault można skonfigurować przy użyciu jednej z następujących metod:

Aby uzyskać więcej informacji, zobacz Azure role-based access control (Azure RBAC) vs. access policy (Kontrola dostępu oparta na rolach platformy Azure) a zasady dostępu.

Kontrola dostępu oparta na rolach (RBAC)

  1. Przejdź do usługi Azure Key Vault. Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) z menu Ustawienia, a następnie wybierz pozycję + Dodaj i wybierz pozycję Dodaj przypisanie roli.

    Zrzut ekranu przedstawiający stronę kontroli dostępu (IAM) dla usługi Key Vault.

  2. Na stronie Dodawanie przypisania roli wyszukaj wpis tajny użytkownika usługi Key Vault i wybierz go z wyników wyszukiwania.

    Zrzut ekranu przedstawiający stronę dodawania przypisania roli dla usługi Key Vault.

  3. Przejdź do karty Członkowie , wybierz pozycję Tożsamość zarządzana, a następnie wybierz pozycję + Wybierz członków.

    Zrzut ekranu przedstawiający kartę członków strony dodawania przypisania roli dla usługi Key Vault.

  4. Wybierz tożsamość zarządzaną przypisaną przez system lub przypisaną przez użytkownika skojarzoną z usługą Azure Front Door, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający stronę wybierania członków dla strony dodawania przypisania roli dla usługi Key Vault.

  5. Wybierz pozycję Przejrzyj i przypisz , aby sfinalizować przypisanie roli.

    Zrzut ekranu przedstawiający stronę przeglądania i przypisywania dla strony dodawania przypisania roli dla usługi Key Vault.

Zasady dostępu

  1. Przejdź do usługi Azure Key Vault. W obszarze Ustawienia wybierz pozycję Zasady dostępu, a następnie wybierz pozycję + Utwórz.

    Zrzut ekranu przedstawiający stronę zasad dostępu dla usługi Key Vault.

  2. Na stronie Tworzenie zasad dostępu przejdź do karty Uprawnienia. W obszarze Uprawnienia wpisu tajnego wybierz pozycję Lista i Pobierz. Następnie wybierz przycisk Dalej , aby przejść do karty podmiotu zabezpieczeń.

    Zrzut ekranu przedstawiający kartę uprawnień dla zasad dostępu usługi Key Vault.

  3. Na karcie Podmiot zabezpieczeń wprowadź identyfikator obiektu (podmiot zabezpieczeń) dla tożsamości zarządzanej przypisanej przez system lub nazwę tożsamości zarządzanej przypisanej przez użytkownika. Następnie wybierz pozycję Przejrzyj i utwórz. Karta Aplikacja jest pomijana, ponieważ usługa Azure Front Door jest wybierana automatycznie.

    Zrzut ekranu przedstawiający kartę podmiotu zabezpieczeń zasad dostępu usługi Key Vault.

  4. Przejrzyj ustawienia zasad dostępu i wybierz pozycję Utwórz , aby sfinalizować zasady dostępu.

    Zrzut ekranu przedstawiający kartę przeglądów i tworzenia zasad dostępu usługi Key Vault.

Weryfikowanie dostępu

  1. Przejdź do profilu usługi Azure Front Door, w którym włączono tożsamość zarządzaną i wybierz pozycję Wpisy tajne w obszarze Zabezpieczenia.

    Zrzut ekranu przedstawiający uzyskiwanie dostępu do wpisów tajnych z poziomu ustawień profilu usługi Front Door.

  2. Upewnij się, że tożsamość zarządzana jest wyświetlana w kolumnie Rola dostępu dla certyfikatu używanego w usłudze Front Door. Jeśli konfigurujesz tożsamość zarządzaną po raz pierwszy, dodaj certyfikat do usługi Front Door, aby wyświetlić tę kolumnę.

    Zrzut ekranu przedstawiający usługę Azure Front Door korzystającą z tożsamości zarządzanej w celu uzyskania dostępu do certyfikatu w usłudze Key Vault.

Następne kroki