Freigeben über

Verwenden von verwalteten Identitäten für den Zugriff auf Azure Key Vault-Zertifikate

  • Artikel

Mithilfe einer von Microsoft Entra ID generierten verwalteten Identität kann Ihre Azure Front Door-Instanz einfach und sicher auf andere mit Microsoft Entra geschützte Ressourcen wie Azure Key Vault zugreifen. Azure verwaltet die Identitätsressource, sodass Sie keine Geheimnisse erstellen oder rotieren müssen. Weitere Informationen zu verwalteten Identitäten finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.

Nachdem Sie verwaltete Identität für Azure Front Door aktiviert und die richtigen Berechtigungen für den Zugriff auf ihren Azure Key Vault erteilt haben, verwendet Front Door nur die verwaltete Identität, um auf die Zertifikate zuzugreifen. Wenn Sie ihrem Key Vault nicht die Berechtigung für die verwaltete Identität hinzufügen, schlagen die automatische benutzerdefinierte Zertifikatrotation und das Hinzufügen neuer Zertifikate ohne Berechtigungen zum Key Vault fehl. Wenn Sie die verwaltete Identität deaktivieren, greift Azure Front Door auf die Verwendung der ursprünglich konfigurierten Microsoft Entra-App zurück. Diese Lösung wird nicht empfohlen und wird in Zukunft eingestellt.

Sie können einem Azure Front Door-Profil zwei Arten von Identitäten gewähren:

  • Eine systemseitig zugewiesene Identität ist an Ihren Dienst gebunden und wird gelöscht, wenn der Dienst gelöscht wird. Der Dienst kann nur über eine systemseitig zugewiesene Identität verfügen.

  • Eine benutzerseitig zugewiesene Identität ist eine eigenständige Azure-Ressource, die Ihrem Dienst zugewiesen werden kann. Der Dienst kann über mehrere benutzerseitig zugewiesene Identitäten verfügen.

Verwaltete Identitäten sind spezifisch für den Microsoft Entra-Mandanten, in dem Ihr Azure-Abonnement gehostet wird. Sie werden nicht aktualisiert, wenn ein Abonnement in ein anderes Verzeichnis verschoben wird. Wenn ein Abonnement verschoben wird, müssen Sie die Identität neu erstellen und konfigurieren.

Sie haben auch die Möglichkeit, den Azure Key Vault-Zugriff mit rollenbasierter Zugriffssteuerung (RBAC) oder Zugriffsrichtlinie zu konfigurieren.

Voraussetzungen

Bevor Sie eine verwaltete Identität für Azure Front Door einrichten können, benötigen Sie ein Azure Front Door Standard- oder Premium-Profil. Informationen zum Erstellen eines neuen Front Door-Profils finden Sie unter Erstellen eines Profils für Front Door.

Aktivieren einer verwalteten Identität

  1. Navigieren Sie zu einem funktionierenden Azure Front Door-Profil. Wählen Sie im linken Seitenmenü unter Sicherheit die Option Identität aus.

    Screenshot of the identity button under settings for a Front Door profile.

  2. Wählen Sie entweder eine systemseitig zugewiesene oder benutzerseitig zugewiesene verwaltete Identität aus.

    • Systemseitig zugewiesen: Eine verwaltete Identität wird für den Lebenszyklus des Azure Front Door-Profils erstellt und für den Zugriff auf einen Azure Key Vault verwendet.

    • Benutzerseitig zugewiesen: Eine eigenständige verwaltete Identitätsressource, die zur Authentifizierung bei einem Azure Key Vault verwendet wird und einen eigenen Lebenszyklus hat.

    Vom System zugewiesen

    1. Wechseln Sie den Status in Ein, und wählen Sie dann Speichern aus.

      Screenshot of the system assigned managed identity configuration page.

    2. Sie werden mit einer Meldung aufgefordert, zu bestätigen, dass Sie eine vom systemseitig verwaltete Identität für Ihr Front Door-Profil erstellen möchten. Klicken Sie auf Ja, um zu bestätigen.

      Screenshot of the system assigned managed identity confirmation message.

    3. Sobald die vom System zugewiesene verwaltete Identität erstellt und mit Microsoft Entra-ID registriert wurde, können Sie die Objekt-ID (Prinzipal-ID ) verwenden, um Azure Front Door Zugriff auf Ihren Azure Key Vault zu gewähren.

      Screenshot of the system assigned managed identity registered with Microsoft Entra ID.

    Vom Benutzer zugewiesen

    Sie müssen bereits eine benutzerseitig verwaltete Identität erstellt haben. Informationen zum Erstellen einer neuen Identität finden Sie unter Erstellen einer benutzerseitig zugewiesenen verwalteten Identität.

    1. Wählen Sie auf der Registerkarte Benutzerseitig zugewiesen die Option + Hinzufügen aus, um eine benutzerseitig zugewiesene verwaltete Identität hinzuzufügen.

      Screenshot of the user assigned managed identity configuration page.

    2. Suchen Sie die vom benutzerseitig zugewiesene verwaltete Identität, und wählen Sie sie aus. Wählen Sie dann Hinzufügen aus, um die benutzerseitig zugewiesene verwaltete Identität zum Azure Front Door-Profil hinzuzufügen.

      Screenshot of the add user assigned managed identity page.

    3. Der Name der von Ihnen ausgewählten verwalteten Identität des Benutzers wird im Azure Front Door-Profil angezeigt.

      Screenshot of the add user assigned managed identity added to Front Door profile.

Konfigurieren des Key Vault-Zugriffs

  • Rollenbasierte Zugriffssteuerung – Gewähren Sie Azure Front Door Zugriff auf Ihren Azure Key Vault mit fein abgestimmter Zugriffssteuerung mit Azure Resource Manager.
  • Zugriffsrichtlinie – Systemeigene Zugriffssteuerung für Azure Key Vault, um Azure Front Door Zugriff auf Ihren Azure Key Vault zu gewähren.

Weitere Informationen finden Sie unter Azure role-based access control (Azure RBAC) vs. Zugriffsrichtlinie.

Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)

  1. Navigieren Sie zu Ihrer Azure Key Vault-Instanz. Wählen Sie unter Einstellungen die Zugriffssteuerung (IAM) und dann +Hinzufügen aus. Wählen Sie im Dropdownmenü "Rollenzuweisung hinzufügen" aus.

    Screenshot of the access control (IAM) page for a Key Vault.

  2. Suchen Sie auf der Seite "Rollenzuweisung hinzufügen" im Suchfeld nach dem Schlüsseltresorschlüsselbenutzer . Wählen Sie dann "Key Vault Secret User" aus den Suchergebnissen aus.

    Screenshot of the add role assignment page for a Key Vault.

  3. Wählen Sie die Registerkarte "Mitglieder" und dann "Verwaltete Identität" aus. Wählen Sie +Mitglieder aus , um der Rollenzuweisung die verwaltete Identität hinzuzufügen.

    Screenshot of the members tab for the add role assignment page for a Key Vault.

  4. Wählen Sie die vom System zugewiesene oder vom Benutzer zugewiesene verwaltete Identität aus, die Ihrer Azure Front Door zugeordnet ist, und wählen Sie dann " Auswählen" aus, um der Rollenzuweisung die verwaltete Identität hinzuzufügen.

    Screenshot of the select members page for the add role assignment page for a Key Vault.

  5. Wählen Sie " Überprüfen" und "Zuweisen " aus, um die Rollenzuweisung einzurichten.

    Screenshot of the review and assign page for the add role assignment page for a Key Vault.

Zugriffsrichtlinie

  1. Navigieren Sie zu Ihrer Azure Key Vault-Instanz. Wählen Sie unter Einstellungen die Option Zugriffsrichtlinien und anschließend + Erstellen aus.

    Screenshot of the access policies page for a Key Vault.

  2. Wählen Sie auf der Registerkarte Berechtigungen der Seite Zugriffsrichtlinie erstellen unter Geheimnisberechtigungen die Optionen Auflisten und Abrufen aus. Wählen Sie dann Weiter aus, um die Registerkarte für den Prinzipal zu konfigurieren.

    Screenshot of the permissions tab for the Key Vault access policy.

  3. Fügen Sie auf der Registerkarte Prinzipal die Objekt-ID (Prinzipal-ID) ein, wenn Sie eine systemseitig verwaltete Identität verwenden, bzw. geben Sie einen Namen ein, wenn Sie eine benutzerseitig zugewiesene verwaltete Identität verwenden. Wählen Sie dann die Registerkarte Überprüfen + Erstellen aus. Die Registerkarte Anwendung wird übersprungen, da Azure Front Door bereits für Sie ausgewählt wurde.

    Screenshot of the principal tab for the Key Vault access policy.

  4. Überprüfen Sie die Zugriffsrichtlinieneinstellungen, und wählen Sie dann Erstellen aus, um die Zugriffsrichtlinie einzurichten.

    Screenshot of the review and create tab for the Key Vault access policy.

Zugriff überprüfen

  1. Wechseln Sie zu dem Azure Front Door-Profil, das Sie für die verwaltete Identität aktiviert haben, und wählen Sie unter Sicherheit die Option Geheimnisse aus.

    Screenshot of accessing secrets from under settings of a Front Door profile.

  2. Vergewissern Sie sich, dass unter der Spalte Zugriffsrolle für das in Front Door verwendete Zertifikat Verwaltete Identität angezeigt wird. Wenn Sie die verwaltete Identität zum ersten Mal einrichten, müssen Sie der Front Door ein Zertifikat hinzufügen, um diese Spalte anzuzeigen.

    Screenshot of Azure Front Door using managed identity to access certificate in Key Vault.

Nächste Schritte