Share via

Použití spravovaných identit pro přístup k certifikátům služby Azure Key Vault

  • Článek

Spravovaná identita vygenerovaná id Microsoft Entra umožňuje vaší instanci služby Azure Front Door snadno a bezpečně přistupovat k dalším prostředkům chráněným Microsoft Entra, jako je Azure Key Vault. Azure spravuje prostředek identity, takže nemusíte vytvářet ani obměňovat tajné kódy. Další informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure?

Jakmile povolíte spravovanou identitu pro Azure Front Door a udělíte správná oprávnění pro přístup ke službě Azure Key Vault, služba Front Door pro přístup k certifikátům používá jenom spravovanou identitu. Pokud ke službě Key Vault nepřidáte oprávnění ke spravované identitě, vlastní autorotace certifikátů a přidání nových certifikátů selže bez oprávnění ke službě Key Vault. Pokud spravovanou identitu zakážete, Azure Front Door se vrátí k použití původní nakonfigurované aplikace Microsoft Entra. Toto řešení se nedoporučuje a v budoucnu bude vyřazeno.

Profil služby Azure Front Door můžete udělit dvěma typům identit:

  • Identita přiřazená systémem je svázaná s vaší službou a při odstranění služby se odstraní. Služba může mít pouze jednu identitu přiřazenou systémem.

  • Identita přiřazená uživatelem je samostatný prostředek Azure, který je možné přiřadit k vaší službě. Služba může mít více identit přiřazených uživatelem.

Spravované identity jsou specifické pro tenanta Microsoft Entra, kde je vaše předplatné Azure hostované. Neaktualizují se, pokud se předplatné přesune do jiného adresáře. Pokud se předplatné přesune, musíte identitu znovu vytvořit a znovu nakonfigurovat.

Máte také možnost nakonfigurovat přístup ke službě Azure Key Vault pomocí řízení přístupu na základě role (RBAC) nebo zásad přístupu.

Požadavky

Než budete moct nastavit spravovanou identitu pro Azure Front Door, musíte mít vytvořený profil Azure Front Door Standard nebo Premium. Pokud chcete vytvořit nový profil služby Front Door, přečtěte si téma Vytvoření služby Azure Front Door.

Povolení spravované identity

  1. Přejděte na existující profil služby Azure Front Door. V části Zabezpečení v podokně nabídek na levé straně vyberte Identitu.

    Screenshot of the identity button under settings for a Front Door profile.

  2. Vyberte spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem.

    • Přiřazený systém – spravovaná identita se vytvoří pro životní cyklus profilu služby Azure Front Door a používá se pro přístup ke službě Azure Key Vault.

    • Přiřazený uživatel – k ověření ve službě Azure Key Vault se používá samostatný prostředek spravované identity a má vlastní životní cyklus.

    Přiřazená systémem

    1. Přepněte stav na Zapnuto a pak vyberte Uložit.

      Screenshot of the system assigned managed identity configuration page.

    2. Zobrazí se výzva se zprávou, že chcete pro svůj profil služby Front Door vytvořit spravovanou identitu systému. Potvrďte výběrem možnosti Ano.

      Screenshot of the system assigned managed identity confirmation message.

    3. Jakmile se spravovaná identita přiřazená systémem vytvoří a zaregistruje pomocí ID Microsoft Entra, můžete pomocí ID objektu (objektu) udělit službě Azure Front Door přístup ke službě Azure Key Vault.

      Screenshot of the system assigned managed identity registered with Microsoft Entra ID.

    Přiřazená uživatelem

    Už musíte mít vytvořenou identitu spravovanou uživatelem. Pokud chcete vytvořit novou identitu, přečtěte si téma Vytvoření spravované identity přiřazené uživatelem.

    1. Na kartě Přiřazené uživatelem vyberte + Přidat a přidejte spravovanou identitu přiřazenou uživatelem.

      Screenshot of the user assigned managed identity configuration page.

    2. Vyhledejte a vyberte spravovanou identitu přiřazenou uživatelem. Potom vyberte Přidat a přidejte identitu spravovanou uživatelem do profilu služby Azure Front Door.

      Screenshot of the add user assigned managed identity page.

    3. Zobrazí se název spravované identity přiřazené uživatelem, kterou jste vybrali v profilu služby Azure Front Door.

      Screenshot of the add user assigned managed identity added to Front Door profile.

Konfigurace přístupu ke službě Key Vault

  • Řízení přístupu na základě role – Udělte službě Azure Front Door přístup ke službě Azure Key Vault s jemně odstupňovaným řízením přístupu pomocí Azure Resource Manageru.
  • Zásady přístupu – Nativní řízení přístupu ke službě Azure Key Vault za účelem udělení přístupu ke službě Azure Key Vault službě Azure Front Door

Další informace najdete v tématu Řízení přístupu na základě role v Azure (Azure RBAC) vs. zásady přístupu.

Řízení přístupu na základě role (RBAC)

  1. Přejděte do služby Azure Key Vault. V části Nastavení vyberte Řízení přístupu (IAM) a pak vyberte + Přidat. V rozevírací nabídce vyberte Přidat přiřazení role.

    Screenshot of the access control (IAM) page for a Key Vault.

  2. Na stránce Přidat přiřazení role vyhledejte ve vyhledávacím poli tajný klíč key vaultu uživatele. Pak ve výsledcích hledání vyberte uživatele tajného klíče služby Key Vault.

    Screenshot of the add role assignment page for a Key Vault.

  3. Vyberte kartu Členové a pak vyberte Spravovaná identita. Výběrem + Vybrat členy přidejte spravovanou identitu k přiřazení role.

    Screenshot of the members tab for the add role assignment page for a Key Vault.

  4. Vyberte spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem přidruženou k vaší službě Azure Front Door a pak vyberte Vybrat a přidejte spravovanou identitu k přiřazení role.

    Screenshot of the select members page for the add role assignment page for a Key Vault.

  5. Výběrem možnosti Zkontrolovat a přiřadit nastavte přiřazení role.

    Screenshot of the review and assign page for the add role assignment page for a Key Vault.

Zásady přístupu

  1. Přejděte do služby Azure Key Vault. V části Nastavení vyberte Zásady přístupu a pak vyberte + Vytvořit.

    Screenshot of the access policies page for a Key Vault.

  2. Na kartě Oprávnění na stránce Vytvořit zásadu přístupu vyberte Seznam a Získat v části Oprávnění tajných kódů. Pak vyberte Další a nakonfigurujte kartu objektu zabezpečení.

    Screenshot of the permissions tab for the Key Vault access policy.

  3. Na kartě Objekt zabezpečení vložte ID objektu (objektu zabezpečení), pokud používáte spravovanou identitu systému, nebo zadejte název, pokud používáte spravovanou identitu přiřazenou uživatelem. Pak vyberte Zkontrolovat a vytvořit kartu. Karta Aplikace se přeskočí, protože už je vybraná služba Azure Front Door.

    Screenshot of the principal tab for the Key Vault access policy.

  4. Zkontrolujte nastavení zásad přístupu a pak vyberte Vytvořit a nastavte zásady přístupu.

    Screenshot of the review and create tab for the Key Vault access policy.

Ověření přístupu

  1. Přejděte do profilu služby Azure Front Door, který jste povolili spravovanou identitu, a v části Zabezpečení vyberte Tajné kódy.

    Screenshot of accessing secrets from under settings of a Front Door profile.

  2. Ověřte, že se spravovaná identita zobrazí ve sloupci role Access pro certifikát použitý ve službě Front Door. Pokud spravovanou identitu nastavujete poprvé, musíte do služby Front Door přidat certifikát, aby se tento sloupec zobrazil.

    Screenshot of Azure Front Door using managed identity to access certificate in Key Vault.

Další kroky