Bagikan melalui

Menggunakan identitas terkelola untuk mengakses sertifikat Azure Key Vault

  • Artikel

Identitas terkelola yang dihasilkan oleh MICROSOFT Entra ID memungkinkan instans Azure Front Door Anda mengakses sumber daya yang dilindungi Microsoft Entra lainnya dengan mudah dan aman, seperti Azure Key Vault. Azure mengelola sumber daya identitas, sehingga Anda tidak perlu membuat atau memutar rahasia apa pun. Untuk informasi selengkapnya tentang identitas terkelola, lihat Apa yang dimaksud dengan identitas terkelola untuk sumber daya Azure?.

Setelah Anda mengaktifkan identitas terkelola untuk Azure Front Door dan memberikan izin yang tepat untuk mengakses Azure Key Vault Anda, Front Door hanya menggunakan identitas terkelola untuk mengakses sertifikat. Jika Anda tidak menambahkan izin identitas terkelola ke Key Vault, autorotasi sertifikat kustom dan penambahan sertifikat baru gagal tanpa izin ke Key Vault. Jika Anda menonaktifkan identitas terkelola, Azure Front Door akan kembali menggunakan Aplikasi Microsoft Entra asli yang dikonfigurasi. Solusi ini tidak direkomendasikan dan akan dihentikan di masa mendatang.

Anda dapat memberikan dua jenis identitas ke profil Azure Front Door:

  • Identitas yang ditetapkan sistem terkait dengan layanan Anda dan dihapus jika layanan Anda dihapus. Layanan ini hanya dapat memiliki satu identitas yang ditetapkan sistem.

  • Identitas yang ditetapkan pengguna adalah sumber daya Azure mandiri yang dapat ditetapkan ke layanan Anda. Layanan ini dapat memiliki beberapa identitas yang ditetapkan pengguna.

Identitas terkelola khusus untuk penyewa Microsoft Entra tempat langganan Azure Anda dihosting. Langganan tidak diperbarui jika langganan dipindahkan ke direktori lain. Jika langganan dipindahkan, Anda perlu membuat ulang dan mengonfigurasi ulang identitas.

Anda juga memiliki opsi untuk mengonfigurasi akses Azure Key Vault menggunakan kontrol akses berbasis peran (RBAC) atau kebijakan akses.

Prasyarat

Sebelum dapat menyiapkan identitas terkelola untuk Azure Front Door, Anda harus membuat profil Azure Front Door Standard atau Premium. Untuk membuat profil Front Door baru, lihat membuat Azure Front Door.

Aktifkan identitas terkelola

  1. Buka profil Azure Front Door yang sudah ada. Pilih Identitas dari bawah Keamanan di panel menu sisi kiri.

    Screenshot of the identity button under settings for a Front Door profile.

  2. Pilih Sistem yang ditetapkan atau Identitas terkelola yang ditetapkan Pengguna.

    • Sistem ditetapkan - identitas terkelola dibuat untuk siklus hidup profil Azure Front Door dan digunakan untuk mengakses Azure Key Vault.

    • Pengguna yang ditetapkan - sumber daya identitas terkelola mandiri digunakan untuk mengautentikasi ke Azure Key Vault dan memiliki siklus hidupnya sendiri.

    Sistem yang ditetapkan

    1. Alihkan Status ke Aktif lalu pilih Simpan.

      Screenshot of the system assigned managed identity configuration page.

    2. Anda diminta dengan pesan untuk mengonfirmasi bahwa Anda ingin membuat identitas terkelola sistem untuk profil Front Door Anda. Pilih Ya untuk mengonfirmasi.

      Screenshot of the system assigned managed identity confirmation message.

    3. Setelah identitas terkelola yang ditetapkan sistem dibuat dan didaftarkan dengan ID Microsoft Entra, Anda dapat menggunakan ID Objek (utama) untuk memberikan akses Azure Front Door ke Azure Key Vault Anda.

      Screenshot of the system assigned managed identity registered with Microsoft Entra ID.

    Pengguna yang ditetapkan

    Anda harus sudah membuat identitas terkelola pengguna. Untuk membuat identitas baru, lihat membuat identitas terkelola yang ditetapkan pengguna.

    1. Di tab Pengguna yang ditetapkan, pilih + Tambahkan untuk menambahkan identitas terkelola yang ditetapkan pengguna.

      Screenshot of the user assigned managed identity configuration page.

    2. Cari dan pilih identitas terkelola yang ditetapkan pengguna. Lalu pilih Tambahkan untuk menambahkan identitas terkelola pengguna ke profil Azure Front Door.

      Screenshot of the add user assigned managed identity page.

    3. Anda melihat nama identitas terkelola yang ditetapkan pengguna yang Anda pilih ditampilkan di profil Azure Front Door.

      Screenshot of the add user assigned managed identity added to Front Door profile.

Mengonfigurasi akses Key Vault

  • Kontrol akses berbasis peran - Berikan akses Azure Front Door ke Azure Key Vault Anda dengan kontrol akses terperintah dengan Azure Resource Manager.
  • Kebijakan akses - Kontrol akses Azure Key Vault asli untuk memberikan akses Azure Front Door ke Azure Key Vault Anda.

Untuk informasi selengkapnya, lihat Kontrol akses berbasis peran Azure (Azure RBAC) vs. kebijakan akses.

Kontrol akses berbasis peran (RBAC)

  1. Navigasikan ke Azure Key Vault Anda. Pilih Kontrol akses (IAM) dari bawah Pengaturan lalu pilih + Tambahkan. Pilih Tambahkan penetapan peran dari menu drop-down.

    Screenshot of the access control (IAM) page for a Key Vault.

  2. Pada halaman Tambahkan penetapan peran, cari Pengguna Rahasia Key Vault di kotak pencarian. Lalu pilih Pengguna Rahasia Key Vault dari hasil pencarian.

    Screenshot of the add role assignment page for a Key Vault.

  3. Pilih tab Anggota lalu pilih Identitas terkelola. Pilih + Pilih anggota untuk menambahkan identitas terkelola ke penetapan peran.

    Screenshot of the members tab for the add role assignment page for a Key Vault.

  4. Pilih identitas terkelola yang ditetapkan sistem atau ditetapkan pengguna yang terkait dengan Azure Front Door Anda lalu pilih Pilih untuk menambahkan identitas terkelola ke penetapan peran.

    Screenshot of the select members page for the add role assignment page for a Key Vault.

  5. Pilih Tinjau + tetapkan untuk menyiapkan penetapan peran.

    Screenshot of the review and assign page for the add role assignment page for a Key Vault.

Kebijakan akses

  1. Navigasikan ke Azure Key Vault Anda. Pilih Kebijakan akses dari bawah Pengaturan lalu pilih + Buat.

    Screenshot of the access policies page for a Key Vault.

  2. Pada tab Izin dari halaman Buat kebijakan akses, pilih Daftar dan Dapatkan di bawah Izin rahasia. Lalu pilih Berikutnya untuk mengonfigurasi tab utama.

    Screenshot of the permissions tab for the Key Vault access policy.

  3. Pada tab Utama , tempelkan ID objek (utama) jika Anda menggunakan identitas terkelola sistem atau masukkan nama jika Anda menggunakan identitas terkelola yang ditetapkan pengguna. Lalu pilih tab Tinjau + buat . Tab Aplikasi dilewati karena Azure Front Door sudah dipilih untuk Anda.

    Screenshot of the principal tab for the Key Vault access policy.

  4. Tinjau pengaturan kebijakan akses lalu pilih Buat untuk menyiapkan kebijakan akses.

    Screenshot of the review and create tab for the Key Vault access policy.

Memverifikasi akses

  1. Buka profil Azure Front Door yang Anda aktifkan identitas terkelola dan pilih Rahasia dari bawah Keamanan.

    Screenshot of accessing secrets from under settings of a Front Door profile.

  2. Konfirmasi identitas Terkelola muncul di bawah kolom Peran akses untuk sertifikat yang digunakan di Front Door. Jika Anda menyiapkan identitas terkelola untuk pertama kalinya, Anda perlu menambahkan sertifikat ke Front Door untuk melihat kolom ini.

    Screenshot of Azure Front Door using managed identity to access certificate in Key Vault.

Langkah berikutnya