Usar identidades gerenciadas para a Rede de Entrega de Conteúdo do Azure para acessar certificados do Azure Key Vault

Importante

O Azure CDN Standard da Microsoft (clássico) será desativado em 30 de setembro de 2027. Para evitar qualquer interrupção do serviço, é importante migrar o Azure CDN Standard dos perfis Microsoft (clássicos) para o Azure Front Door Standard ou Premium até 30 de setembro de 2027. Para obter mais informações, consulte Azure CDN Standard da aposentadoria (clássica) da Microsoft.

A CDN do Azure de Edgio será aposentada em 15 de janeiro de 2025. Você deve migrar sua carga de trabalho para o Azure Front Door antes dessa data para evitar a interrupção do serviço. Para obter mais informações, consulte CDN do Azure das Perguntas frequentes sobre aposentadoria do Edgio.

Uma identidade gerenciada gerada pelo Microsoft Entra ID permite que sua instância da Rede de Entrega de Conteúdo do Azure acesse com facilidade e segurança outros recursos protegidos pelo Microsoft Entra, como o Azure Key Vault. O Azure gerencia o recurso de identidade, portanto, você não precisa criar ou girar nenhum segredo. Para obter mais informações sobre identidades gerenciadas, consulte O que são identidades gerenciadas para recursos do Azure?.

Depois de habilitar a identidade gerenciada para o Azure Front Door e conceder permissões adequadas para acessar seu cofre de chaves do Azure, o Azure Front Door usa apenas a identidade gerenciada para acessar os certificados. Se você não adicionar a permissão de identidade gerenciada ao Cofre de Chaves, a rotação automática de certificados personalizados e a adição de novos certificados falharão sem permissões para o Cofre de Chaves. Se você desabilitar a identidade gerenciada, o Azure Front Door voltará a usar o aplicativo Microsoft Entra configurado originalmente. Esta solução não é recomendada e será desativada no futuro.

Você pode conceder dois tipos de identidades a um perfil do Azure Front Door:

• Uma identidade atribuída pelo sistema está associada ao serviço e será eliminada se o serviço for eliminado. O serviço pode ter apenas uma identidade atribuída ao sistema.

• Uma identidade atribuída pelo utilizador é um recurso autónomo do Azure que pode ser atribuído ao serviço. O serviço pode ter várias identidades atribuídas pelo usuário.

As identidades gerenciadas são específicas do locatário do Microsoft Entra onde sua assinatura do Azure está hospedada. Eles não são atualizados se uma assinatura for movida para um diretório diferente. Se uma assinatura for movida, você precisará recriar e reconfigurar a identidade.

Pré-requisitos

Antes de configurar a identidade gerenciada para o Azure Front Door, você deve ter um perfil do Azure Front Door Standard ou Premium criado. Para criar um novo perfil do Azure Front Door, consulte Criar um perfil da Rede de Entrega de Conteúdo do Azure.

Ativar a identidade gerida

1. Vá para um perfil existente da Rede de Entrega de Conteúdo do Azure. Selecione Identidade em Configurações no painel de menu do lado esquerdo.

   

2. Selecione um Sistema atribuído ou uma identidade gerenciada atribuída ao Usuário.

   • Sistema atribuído - uma identidade gerenciada é criada para o ciclo de vida do perfil da Rede de Entrega de Conteúdo do Azure e é usada para acessar o Cofre da Chave do Azure.

   • Usuário atribuído - um recurso de identidade gerenciado autônomo é usado para autenticar no Cofre da Chave do Azure e tem seu próprio ciclo de vida.

   Sistema atribuído

   1. Alterne o Status para Ativado e selecione Salvar.

      

   2. Você receberá uma mensagem para confirmar que deseja criar uma identidade gerenciada pelo sistema para seu perfil do Azure Front Door. Selecione Sim para confirmar.

      

   3. Depois que a identidade gerenciada atribuída ao sistema for criada e registrada com a ID do Microsoft Entra, você poderá usar a ID do objeto (principal) para conceder acesso à Rede de Entrega de Conteúdo do Azure ao seu cofre de chaves do Azure.

      

   Utilizador atribuído

   Você já deve ter uma identidade gerenciada pelo usuário criada. Para criar uma nova identidade, consulte Criar uma identidade gerenciada atribuída ao usuário.

   1. Na guia Usuário atribuído, selecione + Adicionar para adicionar uma identidade gerenciada atribuída ao usuário.

      

   2. Pesquise e selecione a identidade gerida atribuída pelo utilizador. Em seguida, selecione Adicionar para adicionar a identidade gerenciada pelo usuário ao perfil da Rede de Entrega de Conteúdo do Azure.

      

   3. Você vê o nome da identidade gerenciada atribuída ao usuário selecionada no perfil da Rede de Entrega de Conteúdo do Azure.

      

Configurar a política de acesso ao Cofre da Chave

1. Navegue até o cofre de chaves do Azure. Selecione Políticas de acesso em Configurações e, em seguida, selecione + Criar.

   

2. Na guia Permissões da página Criar uma política de acesso, selecione Lista e Obter permissões secretas. Em seguida, selecione Avançar para configurar a guia principal.

   

3. No separador Principal, cole o ID do objeto (principal) se estiver a utilizar uma identidade gerida pelo sistema ou introduza um nome se estiver a utilizar uma identidade gerida atribuída ao utilizador. Em seguida, selecione a guia Revisar + criar . A guia Aplicativo é ignorada, pois o Azure Front Door já foi selecionado para você.

   

4. Reveja as definições da política de acesso e, em seguida, selecione Criar para configurar a política de acesso.

   

Próximos passos

• Saiba como redirecionar usuários para HTTPS com o mecanismo de regras padrão