Usar identidades gerenciadas para a Rede de Distribuição de Conteúdo do Microsoft Azure para acessar certificados do Azure Key Vault

Importante

A CDN do Azure Standard (clássica) será desativada em 30 de setembro de 2027. Para evitar qualquer interrupção de serviço, é importante migrar seus perfis da CDN do Azure Standard (clássica) para a camada Azure Front Door Standard ou Premium até 30 de setembro de 2027. Para obter mais informações, confira CDN do Azure Standard (clássica).

A CDN do Azure de Edgio será desativada em 15 de janeiro de 2025. Você deve migrar sua carga de trabalho para o Azure Front Door antes desta data para evitar interrupção do serviço.. Para obter mais informações, veja Perguntas frequentes sobre a aposentadoria do CDN do Azure da Edgeo.

Uma identidade gerenciada gerada pelo Microsoft Entra ID permite que sua instância da Rede de Distribuição de Conteúdo do Microsoft Azure acesse com facilidade e segurança outros recursos protegidos do Microsoft Entra, como o Azure Key Vault. O Azure gerencia o recurso de identidade, ou seja, você não precisa provisionar nem girar nenhum segredo. Para obter mais informações sobre identidades gerenciadas, confira O que são identidades gerenciadas para recursos do Azure?.

Depois de habilitar a identidade gerenciada para o Azure Front Door e conceder permissões adequadas para acessar o cofre de chaves do Azure, o Azure Front Door usará apenas a identidade gerenciada para acessar os certificados. Se você não adicionar a permissão de identidade gerenciada ao Key Vault, a autorrotação de certificado personalizada e a adição de novos certificados falharão sem permissões para o Key Vault. Se você desabilitar a identidade gerenciada, o Azure Front Door retornará ao uso do aplicativo do Microsoft Entra configurado originalmente. Essa solução não é recomendada e será desativada no futuro.

Você pode conceder dois tipos de identidades a um perfil do Azure Front Door:

• Uma identidade atribuída pelo sistema é vinculada ao serviço e é excluída se o serviço é excluído. O serviço só pode ter uma identidade atribuída pelo sistema.

• Uma identidade atribuída pelo usuário é um recurso independente do Azure que pode ser atribuído ao seu serviço. O serviço pode ter várias identidades atribuídas pelo usuário.

As identidades gerenciadas são específicas para o locatário do Microsoft Entra em que sua assinatura do Azure está hospedada. Elas não serão atualizadas se uma assinatura for movida para um diretório diferente. Se uma assinatura for movida, você precisará recriar e reconfigurar a identidade.

Pré-requisitos

Antes de poder configurar a identidade gerenciada para o Azure Front Door, você precisa ter um perfil Standard ou Premium do Azure Front Door. Para criar um novo perfil do Azure Front Door, consulte Criar um perfil da Rede de Distribuição de Conteúdo do Microsoft Azure.

Habilitar a identidade gerenciada

1. Vá para um perfil existente da Rede de Distribuição de Conteúdo do Microsoft Azure. Selecione Identidade em Configurações no painel de menu do lado esquerdo.

   

2. Selecione uma identidade gerenciada Atribuída pelo sistema ou Atribuída pelo usuário.

   • Atribuída pelo sistema – uma identidade gerenciada é criada para o ciclo de vida do perfil da Rede de Distribuição de Conteúdo do Microsoft Azure e é usada para acessar o Azure Key Vault.

   • Atribuída pelo usuário – um recurso de identidade gerenciada autônomo é usado para autenticação em um Azure Key Vault e tem um ciclo de vida próprio.

   Atribuído pelo sistema

   1. Alterne o Status para Ativado e selecione Salvar.

      

   2. Você receberá uma mensagem para confirmar se deseja criar uma identidade gerenciada pelo sistema para o seu perfil do Azure Front Door. Clique em Sim para confirmar.

      

   3. Depois que a identidade gerenciada atribuída pelo sistema for criada e registrada com o Microsoft Entra ID, você poderá usar a ID do objeto (entidade de segurança) para conceder à Rede de Distribuição de Conteúdo do Microsoft Azure acesso ao cofre de chaves do Azure.

      

   Atribuído pelo usuário

   Você já precisa ter uma identidade gerenciada pelo usuário criada. Para criar uma nova identidade, confira Criar uma identidade gerenciada atribuída pelo usuário.

   1. Na guia Atribuída pelo usuário, selecione + Adicionar para adicionar uma identidade gerenciada atribuída pelo usuário.

      

   2. Procure e selecione a identidade de gerenciamento atribuída pelo usuário. Em seguida, selecione Adicionar para adicionar a identidade gerenciada pelo usuário ao perfil da Rede de Distribuição de Conteúdo do Microsoft Azure.

      

   3. Você verá o nome da identidade gerenciada atribuída pelo usuário selecionada no perfil da Rede de Distribuição de Conteúdo do Microsoft Azure.

      

Configurar a política de acesso do Key Vault

1. Navegue até o seu cofre de chaves do Azure. Escolha Políticas de acesso em Configurações e selecione + Criar.

   

2. Na guia Permissões da página Criar uma política de acesso, selecione Listar e Obter em Permissões secretas. Em seguida, selecione Avançar para configurar a guia da entidade de segurança.

   

3. Na guia Entidade de segurança, cole a ID do objeto (entidade de segurança) se você estiver usando uma identidade gerenciada do sistema ou insira um nome se estiver usando uma identidade gerenciada atribuída pelo usuário. Em seguida, selecione a guia Examinar + criar. A guia Aplicativo é ignorada, pois o Azure Front Door já está selecionado para você.

   

4. Revise as configurações da política de acesso e selecione Criar para configurar a política de acesso.

   

Próximas etapas

• Saiba como redirecionar usuários para HTTPS com o mecanismo de regras Standard