Partager via

Utiliser des identités managées pour Azure Content Delivery Network afin d’accéder à des certificats Azure Key Vault

  • Article

Une identité managée générée par Microsoft Entra ID permet à votre instance Azure Content Delivery Network d’accéder de façon simple et sécurisée à d’autres ressources protégées par Microsoft Entra comme Azure Key Vault. Azure gère la ressource d’identité. Vous n’avez donc pas à créer ni à faire tourner les secrets. Pour en savoir plus sur les identités managées, consultez la section Que sont les identités managées pour les ressources Azure ?

Une fois que vous avez activé l’identité managée pour Azure Front Door et accordé les autorisations appropriées pour accéder à votre coffre de clés Azure, Azure Front Door utilise juste l’identité managée pour accéder aux certificats. Si vous n’ajoutez pas l’autorisation d’identité managée à votre Key Vault, l’auto-rotation de certificats personnalisé et l’ajout de nouveaux certificats échouent sans autorisations pour Key Vault. Si vous désactivez l’identité managée, Azure Front Door revient à utiliser l’application Microsoft Entra configurée d’origine. Cette solution n’est pas recommandée et sera mise hors service à l’avenir.

Vous pouvez accorder deux types d’identités à un profil Azure Front Door :

  • Une identité affectée par le système est liée à votre service, et elle est supprimée si votre service est supprimé. Le service ne peut avoir qu’une seule identité affectée par le système.

  • Une identité affectée par l’utilisateur est une ressource Azure autonome qui peut être affectée à votre service. Le service peut avoir plusieurs identités affectées par l’utilisateur.

Les identités managées sont propres au locataire Microsoft Entra où votre abonnement Azure est hébergé. Elles ne sont pas mises à jour si un abonnement est déplacé vers un autre annuaire. Si un abonnement est déplacé, vous devez recréer et reconfigurer l’identité.

Prérequis

Avant de pouvoir configurer de l’identité managées pour Azure Front Door, vous devez disposer d’un profil Azure Front Door Standard ou Premium crée. Pour créer un nouveau profil Azure Front Door, consultez Créer un profil Azure Content Delivery Network.

Activer une identité managée

  1. Accédez à un profil Azure Content Delivery Network existant. Sélectionnez Identité sous Paramètres dans le volet du menu de gauche.

    Capture d’écran du bouton Identité sous les paramètres d’un profil Content Delivery Network.

  2. Sélectionnez soit une identité managée affectée par le système ou affectée par l’utilisateur.

    • Affectée par le système : une identité managée est créée pour le cycle de vie du profil Azure Content Delivery Network et est utilisée pour accéder à Azure Key Vault.

    • Affectée par l’utilisateur : ressource d’identité managée autonome est utilisée pour s’authentifier auprès de Azure Key Vault, et qui possède son propre cycle de vie.

    Attribuée par le système

    1. Faites passer l’État à Activé, puis sélectionnez Enregistrer.

      Capture d’écran montrant la page de configuration des identités managées affectées par le système.

    2. Vous êtes invité à envoyer un message pour confirmer que vous souhaitez créer une identité managée par le système pour votre profil Azure Front Door. Sélectionnez Oui pour confirmer.

      Capture d’écran montrant le message de confirmation de création d’une identité managée affectée par le système.

    3. Une fois que l’identité managée affectée par le système est créée et inscrite auprès de Microsoft Entra ID, vous pouvez utiliser l’ID d’objet (principal) pour accorder à Azure Content Delivery Network un accès à votre coffre de clés Azure.

      Capture d’écran de l’identité managée affectée par le système qui est inscrite auprès de Microsoft Entra ID.

    Attribuée par l'utilisateur

    Vous devez déjà avoir créé une identité managée par l’utilisateur. Pour créer une identité, consultez Créer une identité managée affectée par l’utilisateur.

    1. Sous l’onglet Utilisateur affecté , sélectionnez + Ajouter pour ajouter une identité managée affectée par l’utilisateur.

      Capture d’écran montrant la page de configuration des identités managées affectées par l’utilisateur.

    2. Recherchez et sélectionnez l’identité managée affectée par l’utilisateur. Sélectionnez ensuite Ajouter pour ajouter l’identité managée affectée par l’utilisateur au profil Azure Content Delivery Network.

      Capture d’écran de la page permettant d’ajouter une identité managée affectée par l’utilisateur.

    3. Vous voyez le nom de l’identité managée affectée par l’utilisateur que vous avez sélectionnée dans le profil Azure Content Delivery Network.

      Capture d’écran de l’ajout d’une identité managée affectée par l’utilisateur à un profil Azure Content Delivery Network.

Configurer une stratégies d’accès Key Vault

  1. Accédez à votre coffre de clés Azure Key Vault. Sélectionnez Stratégies d’accès sous Paramètres, puis sélectionnez + Créer.

    Capture d’écran de la page des stratégies d’accès d’un coffre de clés.

  2. Sous l’onglet Autorisations de la page Créer une stratégie d’accès, sélectionnez Liste et Obtenir pour Autorisations du secret. Ensuite, sélectionnez Suivant pour configurer l’onglet principal.

    Capture d’écran de l’onglet Autorisations pour la stratégie d’accès Key Vault.

  3. Sous l’onglet Principal, collez l’ID d’objet (principal) si vous utilisez une identité managée affectée par le système, ou entrez un nom si vous utilisez une identité managée affectée par l’utilisateur. Sélectionnez ensuite l’onglet Vérifier + créer . L’onglet Application est ignoré, car Azure Front Door est déjà sélectionné pour vous.

    Capture d’écran de l’onglet Principal pour la stratégie d’accès Key Vault.

  4. Passez en revue les paramètres de stratégie d’accès, puis sélectionnez Créer pour configurer la stratégie d’accès.

    Capture d’écran de l’onglet de révision et de création de la stratégie d’accès Key Vault.

Étapes suivantes