Partilhar via

Usar identidades gerenciadas para acessar certificados do Azure Key Vault

  • Artigo

As identidades gerenciadas fornecidas pelo Microsoft Entra ID permitem que sua instância do Azure Front Door acesse com segurança outros recursos protegidos pelo Microsoft Entra, como o Azure Key Vault, sem a necessidade de gerenciar credenciais. Para obter mais informações, veja O que são identidades geridas para os recursos do Azure?.

Nota

O suporte de identidade gerenciada no Azure Front Door está limitado ao acesso ao Azure Key Vault. Ele não pode ser usado para autenticar do Front Door para origens como Armazenamento de Blob ou Aplicativos Web.

Depois de habilitar a identidade gerenciada para o Azure Front Door e conceder as permissões necessárias ao seu Cofre da Chave do Azure, o Front Door usará a identidade gerenciada para acessar certificados. Sem essas permissões, a rotação automática de certificados personalizados e a adição de novos certificados falham. Se a identidade gerenciada estiver desabilitada, o Azure Front Door voltará a usar o aplicativo Microsoft Entra configurado originalmente, que não é recomendado e será preterido no futuro.

O Azure Front Door dá suporte a dois tipos de identidades gerenciadas:

  • Identidade atribuída ao sistema: essa identidade está vinculada ao seu serviço e é excluída se o serviço for excluído. Cada serviço pode ter apenas uma identidade atribuída ao sistema.
  • Identidade atribuída pelo usuário: este é um recurso autônomo do Azure que pode ser atribuído ao seu serviço. Cada serviço pode ter várias identidades atribuídas pelo usuário.

As identidades gerenciadas são específicas do locatário do Microsoft Entra onde sua assinatura do Azure está hospedada. Se uma assinatura for movida para um diretório diferente, você precisará recriar e reconfigurar a identidade.

Você pode configurar o acesso ao Cofre da Chave do Azure usando o RBAC (controle de acesso baseado em função) ou a política de acesso.

Pré-requisitos

Antes de configurar a identidade gerenciada para o Azure Front Door, verifique se você tem um perfil do Azure Front Door Standard ou Premium. Para criar um novo perfil, consulte Criar uma porta frontal do Azure.

Ativar a identidade gerida

  1. Navegue até o seu perfil existente do Azure Front Door. Selecione Identidade em Segurança no menu à esquerda.

    Captura de ecrã do botão de identidade em definições para um perfil da Porta da frente.

  2. Escolha uma identidade gerenciada atribuída ao sistema ou ao usuário .

    • Sistema atribuído - Uma identidade gerenciada vinculada ao ciclo de vida do perfil da Porta da Frente do Azure, usada para acessar o Cofre da Chave do Azure.

    • Usuário atribuído - Um recurso de identidade gerenciado autônomo com seu próprio ciclo de vida, usado para autenticar no Cofre de Chaves do Azure.

    Sistema atribuído

    1. Alterne o Status para Ativado e selecione Salvar.

      Captura de ecrã da página de configuração de identidade gerida atribuída ao sistema.

    2. Confirme a criação de uma identidade gerenciada pelo sistema para seu perfil de porta da frente selecionando Sim quando solicitado.

      Captura de ecrã da mensagem de confirmação de identidade gerida atribuída ao sistema.

    3. Uma vez criado e registrado com a ID do Microsoft Entra, use a ID do objeto (principal) para conceder acesso à Porta da Frente do Azure ao seu Cofre da Chave do Azure.

      Captura de ecrã da identidade gerida atribuída ao sistema registada com o Microsoft Entra ID.

    Utilizador atribuído

    Para usar uma identidade gerenciada atribuída pelo usuário, você deve ter uma já criada. Para obter instruções sobre como criar uma nova identidade, consulte Criar uma identidade gerenciada atribuída pelo usuário.

    1. Na guia Usuário atribuído, selecione + Adicionar para adicionar uma identidade gerenciada atribuída pelo usuário.

      Captura de ecrã da página de configuração de identidade gerida atribuída pelo utilizador.

    2. Procure e selecione a identidade gerenciada atribuída pelo usuário. Em seguida, selecione Adicionar para anexá-lo ao perfil da Porta da Frente do Azure.

      Captura de ecrã da página adicionar identidade gerida atribuída pelo utilizador.

    3. O nome da identidade gerenciada atribuída pelo usuário selecionada aparece no perfil do Azure Front Door.

      Captura de ecrã da identidade gerida atribuída pelo utilizador adicionada ao perfil Front Door.

Configurar o acesso ao Cofre da Chave

Você pode configurar o acesso ao Cofre da Chave do Azure usando um dos seguintes métodos:

Para obter mais informações, consulte Controle de acesso baseado em função do Azure (Azure RBAC) versus política de acesso.

Controlo de acesso baseado em funções (RBAC)

  1. Navegue até o Cofre da Chave do Azure. Selecione Controle de acesso (IAM) no menu Configurações e, em seguida, selecione + Adicionar e escolha Adicionar atribuição de função.

    Captura de ecrã da página de controlo de acesso (IAM) de um Cofre de Chaves.

  2. Na página Adicionar atribuição de função, procure por Usuário Secreto do Cofre de Chaves e selecione-o nos resultados da pesquisa.

    Captura de ecrã da página adicionar atribuição de funções para um Cofre de Chaves.

  3. Vá para a guia Membros , selecione Identidade gerenciada e, em seguida, selecione + Selecionar membros.

    Captura de ecrã do separador membros da página adicionar atribuição de funções para um Cofre de Chaves.

  4. Escolha a identidade gerenciada atribuída pelo sistema ou pelo usuário associada à sua Porta da Frente do Azure e selecione Selecionar.

    Captura de ecrã da página de seleção de membros para a página adicionar atribuição de função para um Cofre de Chaves.

  5. Selecione Rever + atribuir para finalizar a atribuição de função.

    Captura de ecrã da página de revisão e atribuição da página adicionar atribuição de funções para um Cofre de Chaves.

Política de acesso

  1. Navegue até o Cofre da Chave do Azure. Em Definições, selecione Políticas de acesso e, em seguida, selecione + Criar.

    Captura de ecrã da página de políticas de acesso para um Cofre de Chaves.

  2. Na página Criar uma política de acesso, vá para a guia Permissões. Em Permissões secretas, selecione Listar e Obter. Em seguida, selecione Avançar para prosseguir para a guia principal.

    Captura de ecrã do separador permissões para a política de acesso ao Cofre da Chave.

  3. Na guia Principal, insira o ID do objeto (principal) para uma identidade gerenciada atribuída pelo sistema ou o nome para uma identidade gerenciada atribuída pelo usuário. Em seguida, selecione Rever + criar. A guia Aplicativo é ignorada quando a Porta da Frente do Azure é selecionada automaticamente.

    Captura de ecrã do separador principal da política de acesso ao Cofre da Chave.

  4. Revise as configurações da política de acesso e selecione Criar para finalizar a política de acesso.

    Captura de ecrã do separador rever e criar para a política de acesso ao Cofre da Chave.

Verificar o acesso

  1. Vá para o perfil da Porta da Frente do Azure onde você habilitou a identidade gerenciada e selecione Segredos em Segurança.

    Captura de ecrã do acesso a segredos a partir das definições de um perfil da Front Door.

  2. Confirme se Identidade gerenciada aparece na coluna Função de acesso para o certificado usado no Front Door. Se configurar a identidade gerenciada pela primeira vez, adicione um certificado ao Front Door para ver esta coluna.

    Captura de ecrã do Azure Front Door a utilizar a identidade gerida para aceder ao certificado no Cofre da Chave.

Próximos passos