Поделиться через

Использование управляемых удостоверений для доступа к сертификатам Azure Key Vault

  • Статья

Управляемые удостоверения, предоставляемые идентификатором Microsoft Entra, позволяют экземпляру Azure Front Door безопасно обращаться к другим защищенным ресурсам Microsoft Entra, таким как Azure Key Vault, без необходимости управлять учетными данными. См. сведения об управляемых удостоверениях для ресурсов Azure.

Примечание.

Поддержка управляемых удостоверений в Azure Front Door ограничена доступом к Azure Key Vault. Его нельзя использовать для проверки подлинности из Front Door в источники, такие как хранилище BLOB-объектов или веб-приложения.

После включения управляемого удостоверения для Azure Front Door и предоставления необходимых разрешений в Azure Key Vault Front Door будет использовать управляемое удостоверение для доступа к сертификатам. Без этих разрешений пользовательская автоматическая проверка сертификатов и добавление новых сертификатов завершается ошибкой. Если управляемое удостоверение отключено, Azure Front Door вернется к использованию исходного настроенного приложения Microsoft Entra, которое не рекомендуется и будет устарело в будущем.

Azure Front Door поддерживает два типа управляемых удостоверений:

  • Назначаемое системой удостоверение: это удостоверение привязано к службе и удаляется, если служба удаляется. Каждая служба может иметь только одно удостоверение, назначаемое системой.
  • Назначаемое пользователем удостоверение. Это автономный ресурс Azure, который может быть назначен вашей службе. Каждая служба может иметь несколько удостоверений, назначенных пользователем.

Управляемые удостоверения относятся к клиенту Microsoft Entra, где размещена подписка Azure. Если подписка перемещается в другой каталог, необходимо повторно создать и перенастроить удостоверение.

Доступ к Azure Key Vault можно настроить с помощью управления доступом на основе ролей (RBAC) или политики доступа.

Необходимые компоненты

Перед настройкой управляемого удостоверения для Azure Front Door убедитесь, что у вас есть профиль Azure Front Door уровня "Стандартный" или "Премиум". Сведения о создании нового профиля см. в статье о создании Azure Front Door.

Включение управляемого удостоверения

  1. Перейдите к существующему профилю Azure Front Door. Выберите удостоверение в разделе "Безопасность " в меню слева.

    Снимок экрана: кнопка удостоверения в параметрах профиля Front Door.

  2. Выберите управляемое удостоверение, назначенное системой или назначаемое пользователем.

    • Назначена система. Управляемое удостоверение, связанное с жизненным циклом профиля Azure Front Door, используемое для доступа к Azure Key Vault.

    • Назначенный пользователем ресурс автономного управляемого удостоверения с собственным жизненным циклом, используемый для проверки подлинности в Azure Key Vault.

    Назначено системой

    1. Установите переключатель "Состояние включено " и нажмите кнопку "Сохранить".

      Снимок экрана: страница конфигурации управляемого удостоверения, назначаемого системой.

    2. Подтвердите создание управляемого удостоверения системы для профиля Front Door, нажав кнопку "Да " при появлении запроса.

      Снимок экрана: сообщение подтверждения управляемого удостоверения, назначенное системой.

    3. После создания и регистрации с помощью идентификатора Microsoft Entra используйте идентификатор объекта (субъекта), чтобы предоставить Azure Front Door доступ к Azure Key Vault.

      Снимок экрана: управляемое удостоверение, назначенное системой, зарегистрированное в идентификаторе Microsoft Entra.

    Назначено пользователем

    Чтобы использовать управляемое удостоверение, назначаемое пользователем, необходимо создать его. Инструкции по созданию удостоверения см. в статье о создании управляемого удостоверения, назначаемого пользователем.

    1. На вкладке "Назначаемый пользователем" выберите + Добавить, чтобы добавить управляемое удостоверение, назначаемое пользователем.

      Снимок экрана: страница конфигурации управляемого удостоверения, назначаемого пользователем.

    2. Найдите и выберите управляемое удостоверение, назначаемое пользователем. Затем нажмите кнопку "Добавить ", чтобы присоединить ее к профилю Azure Front Door.

      Снимок экрана: страница добавления управляемого удостоверения, назначаемого пользователем.

    3. Имя выбранного управляемого удостоверения, назначаемого пользователем, отображается в профиле Azure Front Door.

      Снимок экрана: управляемое удостоверение, назначаемое пользователем, добавленное в профиль Front Door.

Настройка доступа к Key Vault

Доступ к Azure Key Vault можно настроить с помощью любого из следующих методов:

Дополнительные сведения см. в статье "Управление доступом на основе ролей Azure" (Azure RBAC) и политика доступа.

Управление доступом на основе ролей (RBAC)

  1. Перейдите в Azure Key Vault. Выберите элемент управления доступом (IAM) в меню "Параметры", а затем нажмите кнопку "Добавить" и выберите "Добавить назначение роли".

    Снимок экрана: страница управления доступом (IAM) для Key Vault.

  2. На странице "Добавление назначения ролей" найдите пользователя Секрета Key Vault и выберите его из результатов поиска.

    Снимок экрана: страница добавления назначения ролей для Key Vault.

  3. Перейдите на вкладку "Участники", выберите управляемое удостоверение, а затем нажмите кнопку "Выбрать участников".

    Снимок экрана: вкладка

  4. Выберите управляемое удостоверение, назначаемое системой или назначаемое пользователем, связанное с Azure Front Door, и нажмите кнопку "Выбрать".

    Снимок экрана: страница выбора элементов для страницы добавления назначения ролей для Key Vault.

  5. Нажмите кнопку "Рецензирование" и " Назначить" , чтобы завершить назначение роли.

    Снимок экрана: страница проверки и назначения страницы добавления назначения ролей для Key Vault.

Политика доступа

  1. Перейдите в Azure Key Vault. В разделе "Параметры" выберите политики доступа и нажмите кнопку "Создать".

    Снимок экрана: страница политик доступа для Key Vault.

  2. На странице "Создание политики доступа" перейдите на вкладку "Разрешения". В разделе "Секретные разрешения" выберите "Список" и "Получить". Затем нажмите кнопку "Далее ", чтобы перейти на вкладку субъекта.

    Снимок экрана: вкладка разрешений для политики доступа Key Vault.

  3. На вкладке "Субъект" введите идентификатор объекта (субъекта) для управляемого удостоверения, назначаемого системой, или имя управляемого удостоверения, назначаемого пользователем. Щелкните Просмотр и создание. Вкладка "Приложение " пропускается, так как Azure Front Door автоматически выбирается.

    Снимок экрана: вкладка субъекта для политики доступа к Key Vault.

  4. Просмотрите параметры политики доступа и нажмите кнопку "Создать ", чтобы завершить политику доступа.

    Снимок экрана: вкладка проверки и создания политики доступа Key Vault.

Проверка доступа

  1. Перейдите в профиль Azure Front Door, где вы включили управляемое удостоверение и выберите секреты в разделе "Безопасность".

    Снимок экрана: доступ к секретам из параметров профиля Front Door.

  2. Убедитесь, что управляемое удостоверение отображается в столбце роли Access для сертификата, используемого в Front Door. Если впервые настроить управляемое удостоверение, добавьте сертификат в Front Door, чтобы просмотреть этот столбец.

    Снимок экрана: Azure Front Door с помощью управляемого удостоверения для доступа к сертификату в Key Vault.

Следующие шаги