Usar identidades gerenciadas para acessar certificados do Azure Key Vault

  • Artigo

Uma identidade gerenciada gerada pelo Microsoft Entra ID permite que sua instância do Azure Front Door acesse com facilidade e segurança outros recursos protegidos pelo Microsoft Entra, como o Azure Key Vault. O Azure gerencia o recurso de identidade, portanto, você não precisa criar ou girar nenhum segredo. Para obter mais informações sobre identidades gerenciadas, consulte O que são identidades gerenciadas para recursos do Azure?.

Depois de habilitar a identidade gerenciada para o Azure Front Door e conceder permissões adequadas para acessar seu Cofre da Chave do Azure, o Front Door usa apenas a identidade gerenciada para acessar os certificados. Se você não adicionar a permissão de identidade gerenciada ao Cofre de Chaves, a rotação automática de certificados personalizados e a adição de novos certificados falharão sem permissões para o Cofre de Chaves. Se você desabilitar a identidade gerenciada, o Azure Front Door voltará a usar o aplicativo Microsoft Entra configurado originalmente. Esta solução não é recomendada e será desativada no futuro.

Você pode conceder dois tipos de identidades a um perfil do Azure Front Door:

  • Uma identidade atribuída pelo sistema está associada ao serviço e será eliminada se o serviço for eliminado. O serviço pode ter apenas uma identidade atribuída ao sistema.

  • Uma identidade atribuída pelo utilizador é um recurso autónomo do Azure que pode ser atribuído ao serviço. O serviço pode ter várias identidades atribuídas pelo usuário.

As identidades gerenciadas são específicas para o locatário do Microsoft Entra onde sua assinatura do Azure está hospedada. Eles não são atualizados se uma assinatura for movida para um diretório diferente. Se uma assinatura for movida, você precisará recriar e reconfigurar a identidade.

Você também tem a opção de configurar o acesso ao Cofre de Chaves do Azure usando o RBAC (controle de acesso baseado em função) ou a política de acesso.

Pré-requisitos

Antes de configurar a identidade gerenciada para o Azure Front Door, você deve ter um perfil do Azure Front Door Standard ou Premium criado. Para criar um novo perfil de Front Door, consulte Criar um Azure Front Door.

Ativar a identidade gerida

  1. Vá para um perfil existente do Azure Front Door. Selecione Identidade em Segurançano painel de menu do lado esquerdo.

    Screenshot of the identity button under settings for a Front Door profile.

  2. Selecione um Sistema atribuído ou uma identidade gerenciada atribuída ao Usuário.

    • Sistema atribuído - uma identidade gerenciada é criada para o ciclo de vida do perfil do Azure Front Door e é usada para acessar o Azure Key Vault.

    • Usuário atribuído - um recurso de identidade gerenciado autônomo é usado para autenticar no Cofre de Chaves do Azure e tem seu próprio ciclo de vida.

    Sistema atribuído

    1. Alterne o Status para Ativado e selecione Salvar.

      Screenshot of the system assigned managed identity configuration page.

    2. Você receberá uma mensagem para confirmar que deseja criar uma identidade gerenciada pelo sistema para seu perfil do Front Door. Selecione Sim para confirmar.

      Screenshot of the system assigned managed identity confirmation message.

    3. Depois que a identidade gerenciada atribuída ao sistema for criada e registrada com a ID do Microsoft Entra, você poderá usar a ID do Objeto (principal) para conceder acesso à Porta da Frente do Azure ao seu Cofre da Chave do Azure.

      Screenshot of the system assigned managed identity registered with Microsoft Entra ID.

    Utilizador atribuído

    Você já deve ter uma identidade gerenciada pelo usuário criada. Para criar uma nova identidade, consulte Criar uma identidade gerenciada atribuída ao usuário.

    1. Na guia Usuário atribuído, selecione + Adicionar para adicionar uma identidade gerenciada atribuída ao usuário.

      Screenshot of the user assigned managed identity configuration page.

    2. Pesquise e selecione a identidade gerida atribuída pelo utilizador. Em seguida, selecione Adicionar para adicionar a identidade gerenciada pelo usuário ao perfil da Porta da Frente do Azure.

      Screenshot of the add user assigned managed identity page.

    3. Você vê o nome da identidade gerenciada atribuída ao usuário selecionada no perfil da Porta da Frente do Azure.

      Screenshot of the add user assigned managed identity added to Front Door profile.

Configurar o acesso ao Cofre da Chave

Para obter mais informações, consulte Controle de acesso baseado em função do Azure (Azure RBAC) versus política de acesso.

Controlo de acesso baseado em funções (RBAC)

  1. Navegue até o Cofre da Chave do Azure. Selecione Controle de acesso (IAM) em Configurações e, em seguida, selecione + Adicionar. Selecione Adicionar atribuição de função no menu suspenso.

    Screenshot of the access control (IAM) page for a Key Vault.

  2. Na página Adicionar atribuição de função, procure por Usuário Secreto do Cofre da Chave na caixa de pesquisa. Em seguida, selecione Key Vault Secret User nos resultados da pesquisa.

    Screenshot of the add role assignment page for a Key Vault.

  3. Selecione a guia Membros e, em seguida, selecione Identidade gerenciada. Selecione + Selecionar membros para adicionar a identidade gerenciada à atribuição de função.

    Screenshot of the members tab for the add role assignment page for a Key Vault.

  4. Selecione a identidade gerenciada atribuída pelo sistema ou pelo usuário associada à sua Porta da Frente do Azure e selecione Selecionar para adicionar a identidade gerenciada à atribuição de função.

    Screenshot of the select members page for the add role assignment page for a Key Vault.

  5. Selecione Rever + atribuir para configurar a atribuição de função.

    Screenshot of the review and assign page for the add role assignment page for a Key Vault.

Política de acesso

  1. Navegue até o Cofre da Chave do Azure. Selecione Políticas de acesso em Configurações e, em seguida, selecione + Criar.

    Screenshot of the access policies page for a Key Vault.

  2. Na guia Permissões da página Criar uma política de acesso, selecione Lista e Obter em Permissões secretas. Em seguida, selecione Avançar para configurar a guia principal.

    Screenshot of the permissions tab for the Key Vault access policy.

  3. Na guia Principal, cole o ID do objeto (principal) se estiver usando uma identidade gerenciada pelo sistema ou insira um nome se estiver usando uma identidade gerenciada atribuída ao usuário. Em seguida, selecione a guia Revisar + criar . A guia Aplicativo é ignorada, pois o Azure Front Door já foi selecionado para você.

    Screenshot of the principal tab for the Key Vault access policy.

  4. Reveja as definições da política de acesso e, em seguida, selecione Criar para configurar a política de acesso.

    Screenshot of the review and create tab for the Key Vault access policy.

Verificar o acesso

  1. Vá para o perfil da Porta da Frente do Azure que você habilitou a identidade gerenciada e selecione Segredos em Segurança.

    Screenshot of accessing secrets from under settings of a Front Door profile.

  2. Confirmar identidade gerenciada aparece na coluna Função de acesso para o certificado usado no Front Door. Se você estiver configurando a identidade gerenciada pela primeira vez, precisará adicionar um certificado ao Front Door para ver esta coluna.

    Screenshot of Azure Front Door using managed identity to access certificate in Key Vault.

Próximos passos