Dela via

Använda hanterade identiteter för att få åtkomst till Azure Key Vault-certifikat

  • Artikel

Kommentar

Stöd för hanterad identitet i Azure Front Door är begränsat till åtkomst till Azure Key Vault. Du kan inte använda den här funktionen för att autentisera från Front Door till ursprung som bloblagring eller webbapp.

Med en hanterad identitet som genereras av Microsoft Entra ID kan din Azure Front Door-instans enkelt och säkert komma åt andra Microsoft Entra-skyddade resurser, till exempel Azure Key Vault. Azure hanterar identitetsresursen, så du behöver inte skapa eller rotera några hemligheter. Mer information om hanterade identiteter finns i Vad är hanterade identiteter för Azure-resurser?.

När du har aktiverat hanterad identitet för Azure Front Door och beviljat rätt behörigheter för att få åtkomst till ditt Azure Key Vault använder Front Door endast hanterad identitet för att få åtkomst till certifikaten. Om du inte lägger till behörigheten för den hanterade identiteten i ditt Key Vault misslyckas autorotering av anpassade certifikat och nya certifikat läggs till utan behörighet till Key Vault. Om du inaktiverar hanterad identitet återgår Azure Front Door till att använda den ursprungliga konfigurerade Microsoft Entra-appen. Den här lösningen rekommenderas inte och kommer att dras tillbaka i framtiden.

Du kan bevilja två typer av identiteter till en Azure Front Door-profil:

  • En systemtilldelad identitet är kopplad till din tjänst och tas bort om tjänsten tas bort. Tjänsten kan bara ha en systemtilldelad identitet.

  • En användartilldelad identitet är en fristående Azure-resurs som kan tilldelas till din tjänst. Tjänsten kan ha flera användartilldelade identiteter.

Hanterade identiteter är specifika för Den Microsoft Entra-klientorganisation där din Azure-prenumeration finns. De uppdateras inte om en prenumeration flyttas till en annan katalog. Om en prenumeration flyttas måste du återskapa och konfigurera om identiteten.

Du kan också konfigurera Azure Key Vault-åtkomst med rollbaserad åtkomstkontroll (RBAC) eller åtkomstprincip.

Förutsättningar

Innan du kan konfigurera hanterad identitet för Azure Front Door måste du ha en Azure Front Door Standard- eller Premium-profil skapad. Information om hur du skapar en ny Front Door-profil finns i Skapa en Azure Front Door.

Aktivera hanterad identitet

  1. Gå till en befintlig Azure Front Door-profil. Välj Identitet från under Säkerhet i menyfönstret till vänster.

    Skärmbild av identitetsknappen under inställningar för en Front Door-profil.

  2. Välj antingen en systemtilldelad eller en användartilldelad hanterad identitet.

    Systemtilldelad

    1. Växla Status till På och välj sedan Spara.

      Skärmbild av konfigurationssidan för systemtilldelade hanterade identiteter.

    2. Du uppmanas med ett meddelande att bekräfta att du vill skapa en systemhanterad identitet för din Front Door-profil. Välj Ja för att bekräfta.

      Skärmbild av bekräftelsemeddelandet för den systemtilldelade hanterade identiteten.

    3. När den systemtilldelade hanterade identiteten har skapats och registrerats med Microsoft Entra-ID kan du använda objekt-ID :t (huvudnamn) för att ge Azure Front Door åtkomst till ditt Azure Key Vault.

      Skärmbild av den systemtilldelade hanterade identiteten som registrerats med Microsoft Entra-ID.

    Användartilldelad

    Du måste redan ha skapat en användarhanterad identitet. Information om hur du skapar en ny identitet finns i Skapa en användartilldelad hanterad identitet.

    1. På fliken Användartilldelad väljer du + Lägg till för att lägga till en användartilldelad hanterad identitet.

      Skärmbild av konfigurationssidan för användartilldelade hanterade identiteter.

    2. Leta reda på och välj den användartilldelade hanteringsidentiteten. Välj sedan Lägg till för att lägga till den användarhanterade identiteten i Azure Front Door-profilen.

      Skärmbild av sidan Lägg till användartilldelad hanterad identitet.

    3. Du ser namnet på den användartilldelade hanterade identiteten som du valde i Azure Front Door-profilen.

      Skärmbild av lägg till användartilldelad hanterad identitet som lagts till i Front Door-profilen.

Konfigurera Åtkomst till Key Vault

  • Rollbaserad åtkomstkontroll – Ge Azure Front Door åtkomst till ditt Azure Key Vault med detaljerad åtkomstkontroll med Azure Resource Manager.
  • Åtkomstprincip – Intern Åtkomstkontroll för Azure Key Vault för att ge Azure Front Door åtkomst till ditt Azure Key Vault.

Mer information finns i Rollbaserad åtkomstkontroll i Azure (Azure RBAC) jämfört med åtkomstprincip.

Rollbaserad åtkomstkontroll (RBAC)

  1. Gå till ditt Azure Key Vault. Välj Åtkomstkontroll (IAM) under Inställningar och välj sedan + Lägg till. Välj Lägg till rolltilldelning på den nedrullningsbara menyn.

    Skärmbild av sidan åtkomstkontroll (IAM) för ett Key Vault.

  2. På sidan Lägg till rolltilldelning söker du efter Key Vault Secret User i sökrutan. Välj sedan Key Vault Secret User (Nyckelvalvshemlighetsanvändare ) i sökresultaten.

    Skärmbild av sidan lägg till rolltilldelning för ett Nyckelvalv.

  3. Välj fliken Medlemmar och välj sedan Hanterad identitet. Välj + Välj medlemmar för att lägga till den hanterade identiteten i rolltilldelningen.

    Skärmbild av fliken Medlemmar för sidan lägg till rolltilldelning för ett Key Vault.

  4. Välj den systemtilldelade eller användartilldelade hanterade identiteten som är kopplad till din Azure Front Door och välj sedan Välj för att lägga till den hanterade identiteten i rolltilldelningen.

    Skärmbild av sidan Välj medlemmar för sidan Lägg till rolltilldelning för ett Nyckelvalv.

  5. Välj Granska + tilldela för att konfigurera rolltilldelningen.

    Skärmbild av sidan granska och tilldela för sidan lägg till rolltilldelning för ett Nyckelvalv.

Åtkomstprincip

  1. Gå till ditt Azure Key Vault. Välj Åtkomstprinciper under Inställningar och välj sedan + Skapa.

    Skärmbild av sidan åtkomstprinciper för ett Key Vault.

  2. På fliken Behörighetersidan Skapa en åtkomstprincip väljer du Lista och Hämta under Hemliga behörigheter. Välj sedan Nästa för att konfigurera huvudfliken.

    Skärmbild av behörighetsfliken för key vault-åtkomstprincipen.

  3. På fliken Huvudnamn klistrar du in objekt-ID:t (huvudnamn) om du använder en systemhanterad identitet eller anger ett namn om du använder en användartilldelad hanterad identitet. Välj sedan fliken Granska + skapa . Fliken Program hoppas över eftersom Azure Front Door redan har valts åt dig.

    Skärmbild av huvudfliken för Key Vault-åtkomstprincipen.

  4. Granska inställningarna för åtkomstprinciper och välj sedan Skapa för att konfigurera åtkomstprincipen.

    Skärmbild av fliken Granska och skapa för key vault-åtkomstprincipen.

Verifiera åtkomst

  1. Gå till Azure Front Door-profilen som du har aktiverat hanterad identitet och välj Hemligheter under Säkerhet.

    Skärmbild av åtkomst till hemligheter från under inställningar för en Front Door-profil.

  2. Bekräfta att Hanterad identitet visas under kolumnen Åtkomstroll för certifikatet som används i Front Door. Om du konfigurerar hanterad identitet för första gången måste du lägga till ett certifikat i Front Door för att se den här kolumnen.

    Skärmbild av Azure Front Door med hanterad identitet för att få åtkomst till certifikat i Key Vault.

Nästa steg