Megosztás a következőn keresztül:

Felügyelt identitások használata az Azure Content Delivery Networkhez az Azure Key Vault-tanúsítványok eléréséhez

  • Cikk

A Microsoft Entra ID által létrehozott felügyelt identitás lehetővé teszi az Azure Content Delivery Network-példány számára, hogy könnyen és biztonságosan hozzáférjen más, Microsoft Entra által védett erőforrásokhoz, például az Azure Key Vaulthoz. Az Azure kezeli az identitáserőforrást, így önnek nem kell titkos kulcsokat létrehoznia vagy elforgatnia. A felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál.

Miután engedélyezte a felügyelt identitást az Azure Front Doorhoz, és megfelelő engedélyeket adott az Azure Key Vault eléréséhez, az Azure Front Door csak felügyelt identitást használ a tanúsítványok eléréséhez. Ha nem adja hozzá a felügyelt identitás engedélyét a Key Vaulthoz, az egyéni tanúsítvány-automatikus hitelesítés és az új tanúsítványok hozzáadása a Key Vault engedélye nélkül meghiúsul. Ha letiltja a felügyelt identitást, az Azure Front Door visszatér az eredeti konfigurált Microsoft Entra-alkalmazáshoz. Ez a megoldás nem ajánlott, és a jövőben megszűnik.

Kétféle identitást adhat egy Azure Front Door-profilhoz:

  • A rendszer által hozzárendelt identitás a szolgáltatáshoz van kötve, és a szolgáltatás törlésekor törlődik. A szolgáltatás csak egy rendszer által hozzárendelt identitással rendelkezhet.

  • A felhasználó által hozzárendelt identitás egy önálló Azure-erőforrás, amely hozzárendelhető a szolgáltatáshoz. A szolgáltatás több felhasználó által hozzárendelt identitással is rendelkezhet.

A felügyelt identitások arra a Microsoft Entra-bérlőre vonatkoznak, ahol az Azure-előfizetést üzemeltetik. Nem frissülnek, ha egy előfizetést áthelyeznek egy másik könyvtárba. Ha áthelyez egy előfizetést, újra létre kell hoznia és újra kell konfigurálnia az identitást.

Előfeltételek

Mielőtt beállíthat felügyelt identitást az Azure Front Doorhoz, létre kell hoznia egy Azure Front Door Standard vagy Prémium profilt. Új Azure Front Door-profil létrehozásához lásd : Azure Content Delivery Network-profil létrehozása.

Felügyelt identitás engedélyezése

  1. Lépjen egy meglévő Azure Content Delivery Network-profilra. A bal oldali menüpanelen válassza az Identitás lehetőséget a Gépház alatt.

    Képernyőkép a tartalomkézbesítési hálózati profil beállításai alatti identitásgombról.

  2. Válasszon ki egy hozzárendelt rendszert vagy egy felhasználó által hozzárendelt felügyelt identitást.

    • Rendszer hozzárendelve – a rendszer létrehoz egy felügyelt identitást az Azure Content Delivery Network-profil életciklusához, és az Azure Key Vault elérésére szolgál.

    • Felhasználó által hozzárendelt – önálló felügyelt identitáserőforrással hitelesíthető az Azure Key Vault, és saját életciklusa van.

    Rendszer által hozzárendelt

    1. Állítsa be az állapotot Be állásba, majd válassza a Mentés lehetőséget.

      Képernyőkép a rendszer által hozzárendelt felügyelt identitás konfigurációs oldaláról.

    2. A rendszer egy üzenettel kéri, hogy erősítse meg, hogy létre szeretne hozni egy rendszer által felügyelt identitást az Azure Front Door-profilhoz. Válassza az Igen lehetőséget a megerősítéshez.

      Képernyőkép a rendszer által hozzárendelt felügyelt identitás megerősítéséről szóló üzenetről.

    3. Miután létrehozta és regisztrálta a rendszer által hozzárendelt felügyelt identitást a Microsoft Entra-azonosítóval, az objektum (egyszerű) azonosítójával hozzáférést biztosíthat az Azure Content Delivery Network számára az Azure Key Vaulthoz.

      Képernyőkép a Microsoft Entra-azonosítóval regisztrált rendszer által hozzárendelt felügyelt identitásról.

    Felhasználó által hozzárendelt

    Már létre kell hoznia egy felhasználó által felügyelt identitást. Új identitás létrehozásához lásd : Felhasználó által hozzárendelt felügyelt identitás létrehozása.

    1. A Felhasználó által hozzárendelt lapon válassza a + Hozzáadás lehetőséget egy felhasználó által hozzárendelt felügyelt identitás hozzáadásához.

      Képernyőkép a felhasználó által hozzárendelt felügyelt identitás konfigurációs oldaláról.

    2. Keresse meg és válassza ki a felhasználó által hozzárendelt felügyelt identitást. Ezután válassza a Hozzáadás lehetőséget a felhasználó által felügyelt identitás Azure Content Delivery Network-profilhoz való hozzáadásához.

      Képernyőkép a felhasználó által hozzárendelt felügyelt identitás hozzáadásáról.

    3. A kiválasztott felhasználó által hozzárendelt felügyelt identitás neve megjelenik az Azure Content Delivery Network-profilban.

      Képernyőkép az Azure Content Delivery Network-profilhoz hozzáadott felhasználó által hozzárendelt felügyelt identitás hozzáadásáról.

A Key Vault hozzáférési szabályzatának konfigurálása

  1. Lépjen az Azure Key Vaulthoz. Válassza a hozzáférési szabályzatokat a Gépház területen, majd válassza a + Létrehozás lehetőséget.

    Képernyőkép egy kulcstartó hozzáférési szabályzatainak oldaláról.

  2. A Hozzáférési szabályzat létrehozása lap Engedélyek lapján válassza a Lista és a Titkos kódok beolvasása lehetőséget. Ezután válassza a Tovább lehetőséget az egyszerű lap konfigurálásához.

    Képernyőkép a Key Vault hozzáférési szabályzat engedélyeinek lapról.

  3. Az Egyszerű lapon illessze be az objektum (egyszerű) azonosítóját, ha rendszer által felügyelt identitást használ, vagy adjon meg egy nevet, ha felhasználó által hozzárendelt felügyelt identitást használ. Ezután válassza a Véleményezés + létrehozás lapot. Az Alkalmazás lap kihagyva, mivel az Azure Front Door már ki van választva Önnek.

    Képernyőkép a Key Vault hozzáférési szabályzatának egyszerű lapjára.

  4. Tekintse át a hozzáférési szabályzat beállításait, majd válassza a Létrehozás lehetőséget a hozzáférési szabályzat beállításához.

    Képernyőkép a Key Vault hozzáférési szabályzatának áttekintési és létrehozási lapról.

Következő lépések