Sdílet prostřednictvím

Použití spravovaných identit pro Azure Content Delivery Network pro přístup k certifikátům služby Azure Key Vault

  • Článek

Spravovaná identita generovaná id Microsoft Entra umožňuje vaší instanci služby Azure Content Delivery Network snadno a bezpečně přistupovat k dalším prostředkům chráněným Microsoft Entra, jako je Azure Key Vault. Azure spravuje prostředek identity, takže nemusíte vytvářet ani obměňovat tajné kódy. Další informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure?

Jakmile povolíte spravovanou identitu pro Azure Front Door a udělíte správná oprávnění pro přístup k trezoru klíčů Azure, Azure Front Door pro přístup k certifikátům používá jenom spravovanou identitu. Pokud ke službě Key Vault nepřidáte oprávnění ke spravované identitě, vlastní autorotace certifikátů a přidání nových certifikátů selže bez oprávnění ke službě Key Vault. Pokud spravovanou identitu zakážete, Azure Front Door se vrátí k použití původní nakonfigurované aplikace Microsoft Entra. Toto řešení se nedoporučuje a v budoucnu bude vyřazeno.

Profil služby Azure Front Door můžete udělit dvěma typům identit:

  • Identita přiřazená systémem je svázaná s vaší službou a při odstranění služby se odstraní. Služba může mít pouze jednu identitu přiřazenou systémem.

  • Identita přiřazená uživatelem je samostatný prostředek Azure, který je možné přiřadit k vaší službě. Služba může mít více identit přiřazených uživatelem.

Spravované identity jsou specifické pro tenanta Microsoft Entra, kde je vaše předplatné Azure hostované. Neaktualizují se, pokud se předplatné přesune do jiného adresáře. Pokud se předplatné přesune, musíte identitu znovu vytvořit a znovu nakonfigurovat.

Požadavky

Než budete moct nastavit spravovanou identitu pro Azure Front Door, musíte mít vytvořený profil Azure Front Door Standard nebo Premium. Pokud chcete vytvořit nový profil služby Azure Front Door, přečtěte si téma Vytvoření profilu služby Azure Content Delivery Network.

Povolení spravované identity

  1. Přejděte do existujícího profilu služby Azure Content Delivery Network. V části Nastavení v levém podokně nabídek vyberte Identitu.

    Snímek obrazovky s tlačítkem identity v nastavení profilu sítě pro doručování obsahu

  2. Vyberte spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem.

    • Přiřazený systém – spravovaná identita se vytvoří pro životní cyklus profilu služby Azure Content Delivery Network a slouží k přístupu ke službě Azure Key Vault.

    • Přiřazený uživatel – k ověření ve službě Azure Key Vault se používá samostatný prostředek spravované identity a má vlastní životní cyklus.

    Přiřazená systémem

    1. Přepněte stav na Zapnuto a pak vyberte Uložit.

      Snímek obrazovky se stránkou konfigurace spravované identity přiřazené systémem

    2. Zobrazí se výzva se zprávou, že chcete pro svůj profil Služby Azure Front Door vytvořit spravovanou identitu systému. Potvrďte výběrem možnosti Ano.

      Snímek obrazovky se zprávou potvrzení spravované identity přiřazené systémem

    3. Jakmile se spravovaná identita přiřazená systémem vytvoří a zaregistruje pomocí ID Microsoft Entra, můžete pomocí ID objektu (objektu) udělit službě Azure Content Delivery Network přístup k vašemu trezoru klíčů Azure.

      Snímek obrazovky se spravovanou identitou přiřazenou systémem zaregistrovanou s ID Microsoft Entra

    Přiřazená uživatelem

    Už musíte mít vytvořenou identitu spravovanou uživatelem. Pokud chcete vytvořit novou identitu, přečtěte si téma Vytvoření spravované identity přiřazené uživatelem.

    1. Na kartě Přiřazené uživatelem vyberte + Přidat a přidejte spravovanou identitu přiřazenou uživatelem.

      Snímek obrazovky se stránkou konfigurace spravované identity přiřazené uživatelem

    2. Vyhledejte a vyberte spravovanou identitu přiřazenou uživatelem. Potom vyberte Přidat a přidejte identitu spravovanou uživatelem do profilu služby Azure Content Delivery Network.

      Snímek obrazovky se stránkou přidat spravovanou identitu přiřazenou uživatelem

    3. Zobrazí se název spravované identity přiřazené uživatelem, kterou jste vybrali v profilu služby Azure Content Delivery Network.

      Snímek obrazovky s přidáním spravované identity přiřazené uživatelem přidanou do profilu služby Azure Content Delivery Network

Konfigurace zásad přístupu ke službě Key Vault

  1. Přejděte do trezoru klíčů Azure. V části Nastavení vyberte Zásady přístupu a pak vyberte + Vytvořit.

    Snímek obrazovky se stránkou zásad přístupu pro trezor klíčů

  2. Na kartě Oprávnění na stránce Vytvořit zásadu přístupu vyberte Možnost Seznam a Získat oprávnění pro tajný kód. Pak vyberte Další a nakonfigurujte kartu objektu zabezpečení.

    Snímek obrazovky s kartou oprávnění pro zásady přístupu ke službě Key Vault

  3. Na kartě Objekt zabezpečení vložte ID objektu (objektu zabezpečení), pokud používáte spravovanou identitu systému, nebo zadejte název, pokud používáte spravovanou identitu přiřazenou uživatelem. Pak vyberte Zkontrolovat a vytvořit kartu. Karta Aplikace se přeskočí, protože už je vybraná služba Azure Front Door.

    Snímek obrazovky s kartou objektu zabezpečení pro zásady přístupu ke službě Key Vault

  4. Zkontrolujte nastavení zásad přístupu a pak vyberte Vytvořit a nastavte zásady přístupu.

    Snímek obrazovky se kontrolou a vytvořením karty pro zásady přístupu ke službě Key Vault

Další kroky