Compartir a través de

Uso de identidades administradas para Azure Content Delivery Network para acceder a certificados de Azure Key Vault

  • Artículo

Una identidad administrada generada por Microsoft Entra ID permite que la instancia de Azure Content Delivery Network acceda fácilmente y de forma segura a otros recursos protegidos de Microsoft Entra, como Azure Key Vault. Azure administra el recurso de identidad, por lo que usted no tiene que crear ni rotar ningún secreto. Para obtener más información sobre las identidades administradas, consulte el artículo sobre Qué son las identidades administradas para recursos de Azure.

Una vez que habilite la identidad administrada para Azure Front Door y conceda los permisos adecuados para acceder al almacén de claves de Azure, Azure Front Door solo usa la identidad administrada para acceder a los certificados. Si no agrega el permiso de identidad administrada a la instancia de Key Vault, se produce un error con la rotación automática de certificados personalizados y al agregar nuevos certificados sin permisos para Key Vault. Si deshabilita la identidad administrada, Azure Front Door recurre al uso de la aplicación de Microsoft Entra configurada originalmente. Esta solución no se recomienda y se retirará en el futuro.

Puede conceder dos tipos de identidades a un perfil de Azure Front Door:

  • Una identidad asignada por el sistema está asociada al servicio y se elimina si se elimina el servicio. El servicio solo puede tener una identidad asignada por el sistema.

  • Una identidad asignada por el usuario es un recurso de Azure independiente que puede asignarse al servicio. El servicio puede tener varias identidades asignadas por el usuario.

Las identidades administradas son específicas del inquilino de Microsoft Entra donde se hospeda la suscripción de Azure. No se actualizan si una suscripción se mueve a otro directorio. Si se mueve una suscripción, debe volver a crear y configurar la identidad.

Requisitos previos

Para poder configurar la identidad administrada para Azure Front Door, debe tener creado un perfil de Azure Front Door Estándar o Premium. Para crear un nuevo perfil de Azure Front Door, consulte Creación de un perfil de Azure Content Delivery Network.

Habilitación de una entidad administrada

  1. Vaya a un perfil de Azure Content Delivery Network existente. Seleccione Identidad en Configuración en el panel de menú izquierdo.

    Captura de pantalla del botón de identidad en la configuración de un perfil de red de entrega de contenido.

  2. Seleccione una identidad administrada asignada por el sistema o asignada por el usuario.

    • Sistema asignado: se crea una identidad administrada para el ciclo de vida del perfil de Azure Content Delivery Network y se usa para acceder a Azure Key Vault.

    • Asignada por el usuario: un recurso de identidad administrada independiente que se usa para autenticarse en una instancia de Azure Key Vault y que tiene su propio ciclo de vida.

    Asignado por el sistema

    1. Cambie el Estado a Activado y, a continuación, seleccione Guardar.

      Captura de pantalla de la página de configuración de la identidad administrada asignada por el sistema.

    2. Se le mostrará un mensaje para confirmar que quiere crear una identidad administrada asignada por el sistema para el perfil de Azure Front Door. Seleccione para confirmar la acción.

      Captura de pantalla del mensaje de confirmación de la identidad administrada asignada por el sistema.

    3. Una vez creada y registrada la identidad administrada asignada por el sistema con Microsoft Entra ID, puede usar el id. de objeto (entidad de seguridad) para permitir que Azure Front Door acceda a la instancia de Azure Key Vault.

      Captura de pantalla de la identidad administrada asignada por el sistema registrada con Microsoft Entra ID.

    Asignado por el usuario

    Ya debe haber creado una identidad administrada asignada por el usuario. Para crear una nueva identidad, consulte Creación de una identidad administrada asignada por el usuario.

    1. En la pestaña Usuario asignado, seleccione + Agregar para agregar una identidad administrada asignada por el usuario.

      Captura de pantalla de la página de configuración de la identidad administrada asignada por el usuario.

    2. Busque y seleccione la identidad administrada asignada por el usuario. A continuación, seleccione Agregar para agregar la identidad administrada del usuario al perfil de Azure Content Delivery Network.

      Captura de pantalla de la página Agregar una identidad administrada asignada por el usuario.

    3. Verá el nombre de la identidad administrada asignada por el usuario que seleccionó en el perfil de Azure Content Delivery Network.

      Captura de pantalla de la adición de una identidad administrada asignada por el usuario agregada a un perfil de Azure Content Delivery Network.

Configuración de la directiva de acceso de Key Vault

  1. Vaya a Azure Key Vault. Seleccione Directivas de acceso en Configuración y, luego, seleccione +Crear.

    Captura de pantalla de la página de directivas de acceso de un almacén de claves.

  2. En la pestaña Permisos de la página Creación de una directiva de acceso, seleccione Enumerar y Obtener para Permisos de secretos. Después, seleccione Siguiente para configurar la pestaña siguiente.

    Captura de pantalla de la pestaña de permisos de la directiva de acceso de Key Vault.

  3. En la pestaña Entidad de seguridad, pegue el Id. de objeto (entidad de seguridad) si usa una identidad administrada asignada por el sistema o escriba un nombre si usa una identidad administrada asignada por el usuario. Luego, seleccione la pestaña Revisar y crear. La pestaña Aplicación se omite porque Azure Front Door ya está seleccionado.

    Captura de pantalla de la pestaña de entidades de seguridad de la directiva de acceso de Key Vault.

  4. Revise la configuración de la directiva de acceso y seleccione Crear para configurarla.

    Captura de pantalla de la pestaña de revisión y creación de la directiva de acceso de Key Vault.

Pasos siguientes