Condividi tramite

Usare le identità gestite per Azure rete per la distribuzione di contenuti per accedere ai certificati di Azure Key Vault

  • Articolo

Un'identità gestita generata da Microsoft Entra ID consente all'istanza di Azure rete per la distribuzione di contenuti di accedere in modo semplice e sicuro ad altre risorse protette di Microsoft Entra, ad esempio Azure Key Vault. Azure gestisce la risorsa di identità, quindi non è necessario creare o ruotare segreti. Per altre informazioni sulle identità gestite, vedere Informazioni sulle identità gestite per le risorse di Azure.

Dopo aver abilitato l'identità gestita per Frontdoor di Azure e aver concesso le autorizzazioni appropriate per accedere all'insieme di credenziali delle chiavi di Azure, Frontdoor di Azure usa solo l'identità gestita per accedere ai certificati. Se non si aggiunge l'autorizzazione per l'identità gestita all'insieme di credenziali delle chiavi, l'aggiunta automatica del certificato personalizzato e l'aggiunta di nuovi certificati non riesce senza autorizzazioni per Key Vault. Se si disabilita l'identità gestita, Frontdoor di Azure esegue il fallback all'uso dell'app Microsoft Entra configurata originale. Questa soluzione non è consigliata e verrà ritirata in futuro.

È possibile concedere due tipi di identità a un profilo frontdoor di Azure:

  • Un'identità assegnata dal sistema viene associata al servizio e viene eliminata in caso di eliminazione. Il servizio può avere una sola identità assegnata dal sistema.

  • Un'identità assegnata dall'utente è una risorsa di Azure autonoma che può essere assegnata al servizio. Il servizio può avere più identità assegnate dall'utente.

Le identità gestite sono specifiche del tenant di Microsoft Entra in cui è ospitata la sottoscrizione di Azure. Non vengono aggiornati se una sottoscrizione viene spostata in una directory diversa. Se una sottoscrizione viene spostata, è necessario ricreare e riconfigurare l'identità.

Prerequisiti

Prima di configurare l'identità gestita per Frontdoor di Azure, è necessario creare un profilo Frontdoor di Azure Standard o Premium. Per creare un nuovo profilo frontdoor di Azure, vedere Creare un profilo di Azure rete per la distribuzione di contenuti.

Abilitare l'identità gestita

  1. Passare a un profilo di azure rete per la distribuzione di contenuti esistente. Selezionare Identity from (Identità) in Impostazioni nel riquadro del menu a sinistra.

    Screenshot del pulsante Identity in impostazioni per un profilo di rete per la distribuzione di contenuti.

  2. Selezionare un'identità gestita assegnata dal sistema o assegnata dall'utente .

    • Assegnata dal sistema: viene creata un'identità gestita per il ciclo di vita del profilo di Azure rete per la distribuzione di contenuti e viene usata per accedere ad Azure Key Vault.

    • Assegnata dall'utente : una risorsa di identità gestita autonoma viene usata per eseguire l'autenticazione in Azure Key Vault e ha un proprio ciclo di vita.

    Assegnata dal sistema

    1. Impostare Stato su Sì e quindi selezionare Salva.

      Screenshot della pagina di configurazione dell'identità gestita assegnata dal sistema.

    2. Viene visualizzato un messaggio per confermare che si vuole creare un'identità gestita di sistema per il profilo frontdoor di Azure. Seleziona per confermare.

      Screenshot del messaggio di conferma dell'identità gestita assegnata dal sistema.

    3. Dopo aver creato e registrato l'identità gestita assegnata dal sistema con Microsoft Entra ID, è possibile usare l'ID Oggetto (entità) per concedere ad Azure rete per la distribuzione di contenuti l'accesso all'insieme di credenziali delle chiavi di Azure.

      Screenshot dell'identità gestita assegnata dal sistema registrata con Microsoft Entra ID.

    Assegnata dall'utente

    È necessario avere già creato un'identità gestita dall'utente. Per creare una nuova identità, vedere Creare un'identità gestita assegnata dall'utente.

    1. Nella scheda Assegnata dall'utente selezionare + Aggiungi per aggiungere un'identità gestita assegnata dall'utente.

      Screenshot della pagina di configurazione dell'identità gestita assegnata dall'utente.

    2. Cercare e selezionare l'identità assegnata dall'utente. Selezionare quindi Aggiungi per aggiungere l'identità gestita dall'utente al profilo di azure rete per la distribuzione di contenuti.

      Screenshot della pagina aggiungere un'identità gestita assegnata dall'utente.

    3. Nel profilo di Azure rete per la distribuzione di contenuti viene visualizzato il nome dell'identità gestita assegnata dall'utente selezionato.

      Screenshot dell'aggiunta di un'identità gestita assegnata dall'utente a un profilo di azure rete per la distribuzione di contenuti.

Configurare i criteri di accesso di Key Vault

  1. Passare all'insieme di credenziali delle chiavi di Azure. Selezionare Criteri di accesso da in Impostazioni e quindi selezionare + Crea.

    Screenshot della pagina dei criteri di accesso per un insieme di credenziali delle chiavi.

  2. Nella scheda Autorizzazioni della pagina Crea criteri di accesso selezionare Elenco e Ottieni per autorizzazioni segrete. Selezionare quindi Avanti per configurare la scheda principale.

    Screenshot della scheda autorizzazioni per i criteri di accesso di Key Vault.

  3. Nella scheda Entità incollare l'ID dell'oggetto (entità) se si usa un'identità gestita dal sistema o immettere un nome se si usa un'identità gestita assegnata dall'utente. Selezionare quindi rivedi e crea scheda. La scheda Applicazione viene ignorata perché Frontdoor di Azure viene già selezionato automaticamente.

    Screenshot della scheda principale per i criteri di accesso di Key Vault.

  4. Esaminare le impostazioni dei criteri di accesso e quindi selezionare Crea per configurare i criteri di accesso.

    Screenshot della scheda Rivedi e crea per i criteri di accesso di Key Vault.

Passaggi successivi