Compartir a través de

Uso de identidades administradas para acceder a certificados de Azure Key Vault

  • Artículo

Una identidad administrada generada por el identificador de Entra de Microsoft permite que la instancia de Azure Front Door acceda fácilmente y de forma segura a otros recursos protegidos por Microsoft Entra, como Azure Key Vault. Azure administra el recurso de identidad, por lo que usted no tiene que crear ni rotar ningún secreto. Para obtener más información sobre las identidades administradas, consulte el artículo sobre Qué son las identidades administradas para recursos de Azure.

Después de habilitar la identidad administrada para Azure Front Door y conceder los permisos adecuados para acceder a su instancia de Azure Key Vault, Front Door solo usa la identidad administrada para acceder a los certificados. Si no agrega el permiso de identidad administrada a la instancia de Key Vault, se produce un error con la rotación automática de certificados personalizados y al agregar nuevos certificados sin permisos para Key Vault. Si deshabilita la identidad administrada, Azure Front Door recurre al uso de la aplicación de Microsoft Entra configurada originalmente. Esta solución no se recomienda y se retirará en el futuro.

Puede conceder dos tipos de identidades a un perfil de Azure Front Door:

  • Una identidad asignada por el sistema está asociada al servicio y se elimina si se elimina el servicio. El servicio solo puede tener una identidad asignada por el sistema.

  • Una identidad asignada por el usuario es un recurso de Azure independiente que puede asignarse al servicio. El servicio puede tener varias identidades asignadas por el usuario.

Las identidades administradas son específicas del inquilino de Microsoft Entra donde se hospeda la suscripción de Azure. No se actualizan si una suscripción se mueve a otro directorio. Si se mueve una suscripción, debe volver a crear y configurar la identidad.

También tiene la opción de configurar el acceso de Azure Key Vault mediante el control de acceso basado en rol (RBAC) o la directiva de acceso.

Requisitos previos

Para poder configurar la identidad administrada para Azure Front Door, debe tener creado un perfil de Azure Front Door Estándar o Premium. Para crear un nuevo perfil de Front Door, consulte este artículo sobre la creación de un perfil de Azure Front Door.

Habilitación de una entidad administrada

  1. Vaya a un perfil de Azure Front Door existente. Seleccione Identidad en Seguridad en el panel de menú izquierdo.

    Screenshot of the identity button under settings for a Front Door profile.

  2. Seleccione una identidad administrada asignada por el sistema o asignada por el usuario.

    • Asignada por el sistema: se crea una identidad administrada para el ciclo de vida del perfil de Azure Front Door y se usa para acceder a Azure Key Vault.

    • Asignada por el usuario: un recurso de identidad administrada independiente que se usa para autenticarse en una instancia de Azure Key Vault y que tiene su propio ciclo de vida.

    Asignado por el sistema

    1. Cambie el Estado a Activado y, a continuación, seleccione Guardar.

      Screenshot of the system assigned managed identity configuration page.

    2. Se le mostrará un mensaje para confirmar que quiere crear una identidad administrada asignada por el sistema para el perfil de Front Door. Seleccione para confirmar la acción.

      Screenshot of the system assigned managed identity confirmation message.

    3. Una vez creada y registrada la identidad administrada asignada por el sistema con el identificador de Entra de Microsoft, puede usar el identificador de objeto (entidad de seguridad) para conceder a Azure Front Door acceso a Azure Key Vault.

      Screenshot of the system assigned managed identity registered with Microsoft Entra ID.

    Asignado por el usuario

    Ya debe haber creado una identidad administrada asignada por el usuario. Para crear una nueva identidad, consulte Creación de una identidad administrada asignada por el usuario.

    1. En la pestaña Usuario asignado, seleccione + Agregar para agregar una identidad administrada asignada por el usuario.

      Screenshot of the user assigned managed identity configuration page.

    2. Busque y seleccione la identidad administrada asignada por el usuario. A continuación, seleccione Agregar para agregar la identidad administrada asignada por el usuario al perfil de Azure Front Door.

      Screenshot of the add user assigned managed identity page.

    3. Verá el nombre de la identidad administrada asignada por el usuario que seleccionó en el perfil de Azure Front Door.

      Screenshot of the add user assigned managed identity added to Front Door profile.

Configuración del acceso a Key Vault

  • Control de acceso basado en rol: conceda a Azure Front Door acceso a Azure Key Vault con control de acceso específico con Azure Resource Manager.
  • Directiva de acceso: control de acceso nativo de Azure Key Vault para conceder a Azure Front Door acceso a Azure Key Vault.

Para más información, consulte Control de acceso basado en rol de Azure (Azure RBAC) frente a la directiva de acceso.

Control de acceso basado en rol (RBAC)

  1. Vaya a Azure Key Vault. Seleccione Control de acceso (IAM) en Configuración y, a continuación, seleccione + Agregar. Seleccione Agregar asignación de roles en el menú desplegable.

    Screenshot of the access control (IAM) page for a Key Vault.

  2. En la página Agregar asignación de roles, busque Usuario secreto de Key Vault en el cuadro de búsqueda. A continuación, seleccione Key Vault Secret User (Usuario secreto de Key Vault) en los resultados de la búsqueda.

    Screenshot of the add role assignment page for a Key Vault.

  3. Seleccione la pestaña Miembros y, a continuación, seleccione Identidad administrada. Seleccione + Seleccionar miembros para agregar la identidad administrada a la asignación de roles.

    Screenshot of the members tab for the add role assignment page for a Key Vault.

  4. Seleccione la identidad administrada asignada por el sistema o asignada por el usuario asociada a Azure Front Door y, a continuación, seleccione Seleccionar para agregar la identidad administrada a la asignación de roles.

    Screenshot of the select members page for the add role assignment page for a Key Vault.

  5. Seleccione Revisar y asignar para configurar la asignación de roles.

    Screenshot of the review and assign page for the add role assignment page for a Key Vault.

Directiva de acceso

  1. Vaya a Azure Key Vault. Seleccione Directivas de acceso en Configuración y, luego, seleccione +Crear.

    Screenshot of the access policies page for a Key Vault.

  2. En la pestaña Permisos de la página Creación de una directiva de acceso, seleccione Enumerar y Obtener en Permisos de secretos. Después, seleccione Siguiente para configurar la pestaña siguiente.

    Screenshot of the permissions tab for the Key Vault access policy.

  3. En la pestaña Entidad de seguridad, pegue el Id. de objeto (entidad de seguridad) si usa una identidad administrada asignada por el sistema o escriba un nombre si usa una identidad administrada asignada por el usuario. Luego, seleccione la pestaña Revisar y crear. La pestaña Aplicación se omite porque Azure Front Door ya está seleccionado.

    Screenshot of the principal tab for the Key Vault access policy.

  4. Revise la configuración de la directiva de acceso y seleccione Crear para configurarla.

    Screenshot of the review and create tab for the Key Vault access policy.

Comprobar acceso

  1. Vaya al perfil de Azure Front Door para el que ha habilitado la identidad administrada y seleccione Secretos en Seguridad.

    Screenshot of accessing secrets from under settings of a Front Door profile.

  2. Confirme que Identidad administrada aparece en la columna Rol de acceso para el certificado que se usa en Front Door. Si va a configurar la identidad administrada por primera vez, debe agregar un certificado a Front Door para ver esta columna.

    Screenshot of Azure Front Door using managed identity to access certificate in Key Vault.

Pasos siguientes