你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用托管标识访问 Azure Key Vault 证书

Microsoft Entra ID 提供的托管标识使 Azure Front Door 实例能够安全地访问其他受 Microsoft Entra 保护的资源(例如 Azure 密钥保管库),而无需管理凭据。 有关详细信息,请参阅什么是 Azure 资源的托管标识?

注意

Azure Front Door 中的托管标识支持仅限于访问 Azure 密钥保管库。 它不能用于从 Front Door 到 Blob 存储或 Web 应用等源的身份验证。

为 Azure Front Door 启用托管标识并授予对 Azure 密钥保管库的所需权限后,Front Door 将使用托管标识来访问证书。 如果没有这些权限,自定义证书自动轮换和添加新证书将会失败。 如果禁用托管标识,Azure Front Door 将恢复为使用原始配置的 Microsoft Entra 应用;不建议这样做,并且将来会弃用此设置。

Azure Front Door 支持两种类型的托管标识:

  • 系统分配的标识:此标识与你的服务相关联,如果删除该服务,也会删除该标识。 每个服务只能有一个系统分配的标识。
  • 用户分配的标识:此标识是可以分配给服务的独立 Azure 资源。 每个服务可以有多个用户分配的标识。

托管标识特定于托管 Azure 订阅的 Microsoft Entra 租户。 如果将订阅移动到不同的目录,则需要重新创建并重新配置标识。

可以使用基于角色的访问控制 (RBAC)访问策略来配置 Azure 密钥保管库访问。

先决条件

在为 Azure Front Door 设置托管标识之前,请确保你拥有 Azure Front Door 标准版或高级版配置文件。 若要创建新的配置文件,请参阅创建 Azure Front Door

启用托管标识

  1. 导航到现有的 Azure Front Door 配置文件。 在左侧菜单中,选择“安全”下的“标识”

    Front Door 配置文件的设置下的标识按钮的屏幕截图。

  2. 选择“系统分配”或“用户分配”的托管标识

    • 系统分配 - 与 Azure Front Door 配置文件生命周期绑定的托管标识,用于访问 Azure 密钥保管库

    • 用户分配 - 具有自身生命周期的独立托管标识资源,用于向 Azure 密钥保管库进行身份验证

    系统分配

    1. 将“状态”切换为“开”,然后选择“保存”

      系统分配的托管标识配置页的屏幕截图。

    2. 出现提示时,请选择“是”,确认为 Front Door 配置文件创建系统托管标识

      系统分配的托管标识确认消息的屏幕截图。

    3. 创建并注册 Microsoft Entra ID 后,使用“对象(主体)ID”授予 Azure Front Door 对 Azure 密钥保管库的访问权限

      注册到 Microsoft Entra ID 的系统分配的托管标识的屏幕截图。

    用户分配

    若要使用用户分配的托管标识,必须事先创建一个。 有关创建新标识的说明,请参阅创建用户分配的托管标识

    1. 在“用户分配”选项卡中,选择“+ 添加”以添加用户分配的托管标识

      用户分配的托管标识配置页面的屏幕截图。

    2. 搜索并选择用户分配的托管标识。 然后选择“添加”以将其附加到 Azure Front Door 配置文件

      添加用户分配的托管标识页面的屏幕截图。

    3. 所选用户分配的托管标识的名称将显示在 Azure Front Door 配置文件中。

      添加到 Front Door 配置文件的用户分配的托管标识的屏幕截图。


配置 Key Vault 访问权限

可以使用以下任一方法配置 Azure 密钥保管库访问权限:

有关详细信息,请参阅 Azure 基于角色的访问控制 (Azure RBAC) 与访问策略

基于角色的访问控制 (RBAC)

  1. 导航到你的 Azure 密钥保管库。 从“设置”菜单中选择“访问控制 (IAM)”,然后选择“+ 添加”,并选择“添加角色分配”

    密钥保管库的访问控制 (IAM) 页的屏幕截图。

  2. 在“添加角色分配”页面上,搜索“密钥保管库机密用户”并从搜索结果中选择它

    密钥保管库的“添加角色分配”页的屏幕截图。

  3. 转到“成员”选项卡,选择“托管标识”,然后选择“+ 选择成员”

    密钥保管库“添加角色分配”页“成员”选项卡的屏幕截图。

  4. 选择与 Azure Front Door 关联的“系统分配”或“用户分配”的托管标识,然后选择“选择”

    密钥保管库“添加角色分配”页的选择成员页的屏幕截图。

  5. 选择“查看 + 分配”完成角色分配

    密钥保管库“添加角色分配”页的“查看和分配”页屏幕截图。

访问策略

  1. 导航到你的 Azure 密钥保管库。 在“设置”下选择“访问策略”,然后选择“+ 创建”

    密钥保管库的访问策略页的屏幕截图。

  2. 在“创建访问策略”页面上,转到“权限”选项卡。在“机密权限”下,选择“列出”和“获取”。 然后选择“下一步”转到主体选项卡

    密钥保管库访问策略的权限选项卡的屏幕截图。

  3. 在“主体”选项卡上,输入系统分配的托管标识的对象(主体)ID 或用户分配的托管标识的名称。 然后选择“查看 + 创建”。 由于自动选择了 Azure Front Door,因此会跳过“应用程序”选项卡

    密钥保管库访问策略的主体选项卡的屏幕截图。

  4. 查看访问策略设置,然后选择“创建”以完成访问策略

    密钥保管库访问策略的查看和创建选项卡的屏幕截图。

验证访问权限

  1. 转到在其中启用了托管标识的 Azure Front Door 配置文件,并在“安全”下选择“机密”

    在 Front Door 配置文件的设置下访问机密的屏幕截图。

  2. 确认“托管标识”显示在 Front Door 中使用的证书的“访问角色”列下。 如果首次设置托管标识,请将证书添加到 Front Door 以查看此列。

    Azure Front Door 使用托管标识访问密钥保管库中的证书的屏幕截图。

后续步骤