Använda hanterade identiteter för att få åtkomst till Azure Key Vault-certifikat

  • Artikel

Med en hanterad identitet som genereras av Microsoft Entra ID kan din Azure Front Door-instans enkelt och säkert komma åt andra Microsoft Entra-skyddade resurser, till exempel Azure Key Vault. Azure hanterar identitetsresursen, så du behöver inte skapa eller rotera några hemligheter. Mer information om hanterade identiteter finns i Vad är hanterade identiteter för Azure-resurser?.

När du har aktiverat hanterad identitet för Azure Front Door och beviljat rätt behörigheter för att få åtkomst till ditt Azure Key Vault använder Front Door endast hanterad identitet för att få åtkomst till certifikaten. Om du inte lägger till behörigheten för den hanterade identiteten i ditt Key Vault misslyckas autorotering av anpassade certifikat och nya certifikat läggs till utan behörighet till Key Vault. Om du inaktiverar hanterad identitet återgår Azure Front Door till att använda den ursprungliga konfigurerade Microsoft Entra-appen. Den här lösningen rekommenderas inte och kommer att dras tillbaka i framtiden.

Du kan bevilja två typer av identiteter till en Azure Front Door-profil:

  • En systemtilldelad identitet är kopplad till din tjänst och tas bort om tjänsten tas bort. Tjänsten kan bara ha en systemtilldelad identitet.

  • En användartilldelad identitet är en fristående Azure-resurs som kan tilldelas till din tjänst. Tjänsten kan ha flera användartilldelade identiteter.

Hanterade identiteter är specifika för Den Microsoft Entra-klientorganisation där din Azure-prenumeration finns. De uppdateras inte om en prenumeration flyttas till en annan katalog. Om en prenumeration flyttas måste du återskapa och konfigurera om identiteten.

Du kan också konfigurera Azure Key Vault-åtkomst med rollbaserad åtkomstkontroll (RBAC) eller åtkomstprincip.

Förutsättningar

Innan du kan konfigurera hanterad identitet för Azure Front Door måste du ha en Azure Front Door Standard- eller Premium-profil skapad. Information om hur du skapar en ny Front Door-profil finns i Skapa en Azure Front Door.

Aktivera hanterad identitet

  1. Gå till en befintlig Azure Front Door-profil. Välj Identitet från under Säkerhet i menyfönstret till vänster.

    Screenshot of the identity button under settings for a Front Door profile.

  2. Välj antingen en systemtilldelad eller en användartilldelad hanterad identitet.

    Systemtilldelad

    1. Växla Status till På och välj sedan Spara.

      Screenshot of the system assigned managed identity configuration page.

    2. Du uppmanas med ett meddelande att bekräfta att du vill skapa en systemhanterad identitet för din Front Door-profil. Välj Ja för att bekräfta.

      Screenshot of the system assigned managed identity confirmation message.

    3. När den systemtilldelade hanterade identiteten har skapats och registrerats med Microsoft Entra-ID kan du använda objekt-ID :t (huvudnamn) för att ge Azure Front Door åtkomst till ditt Azure Key Vault.

      Screenshot of the system assigned managed identity registered with Microsoft Entra ID.

    Användartilldelad

    Du måste redan ha skapat en användarhanterad identitet. Information om hur du skapar en ny identitet finns i Skapa en användartilldelad hanterad identitet.

    1. På fliken Användartilldelad väljer du + Lägg till för att lägga till en användartilldelad hanterad identitet.

      Screenshot of the user assigned managed identity configuration page.

    2. Leta reda på och välj den användartilldelade hanteringsidentiteten. Välj sedan Lägg till för att lägga till den användarhanterade identiteten i Azure Front Door-profilen.

      Screenshot of the add user assigned managed identity page.

    3. Du ser namnet på den användartilldelade hanterade identiteten som du valde i Azure Front Door-profilen.

      Screenshot of the add user assigned managed identity added to Front Door profile.

Konfigurera Åtkomst till Key Vault

  • Rollbaserad åtkomstkontroll – Ge Azure Front Door åtkomst till ditt Azure Key Vault med detaljerad åtkomstkontroll med Azure Resource Manager.
  • Åtkomstprincip – Intern Åtkomstkontroll för Azure Key Vault för att ge Azure Front Door åtkomst till ditt Azure Key Vault.

Mer information finns i Rollbaserad åtkomstkontroll i Azure (Azure RBAC) jämfört med åtkomstprincip.

Rollbaserad åtkomstkontroll (RBAC)

  1. Gå till ditt Azure Key Vault. Välj Åtkomstkontroll (IAM) under Inställningar och välj sedan + Lägg till. Välj Lägg till rolltilldelning på den nedrullningsbara menyn.

    Screenshot of the access control (IAM) page for a Key Vault.

  2. På sidan Lägg till rolltilldelning söker du efter Key Vault Secret User i sökrutan. Välj sedan Key Vault Secret User (Nyckelvalvshemlighetsanvändare ) i sökresultaten.

    Screenshot of the add role assignment page for a Key Vault.

  3. Välj fliken Medlemmar och välj sedan Hanterad identitet. Välj + Välj medlemmar för att lägga till den hanterade identiteten i rolltilldelningen.

    Screenshot of the members tab for the add role assignment page for a Key Vault.

  4. Välj den systemtilldelade eller användartilldelade hanterade identiteten som är kopplad till din Azure Front Door och välj sedan Välj för att lägga till den hanterade identiteten i rolltilldelningen.

    Screenshot of the select members page for the add role assignment page for a Key Vault.

  5. Välj Granska + tilldela för att konfigurera rolltilldelningen.

    Screenshot of the review and assign page for the add role assignment page for a Key Vault.

Åtkomstprincip

  1. Gå till ditt Azure Key Vault. Välj Åtkomstprinciper under Inställningar och välj sedan + Skapa.

    Screenshot of the access policies page for a Key Vault.

  2. På fliken Behörighetersidan Skapa en åtkomstprincip väljer du Lista och Hämta under Hemliga behörigheter. Välj sedan Nästa för att konfigurera huvudfliken.

    Screenshot of the permissions tab for the Key Vault access policy.

  3. På fliken Huvudnamn klistrar du in objekt-ID:t (huvudnamn) om du använder en systemhanterad identitet eller anger ett namn om du använder en användartilldelad hanterad identitet. Välj sedan fliken Granska + skapa . Fliken Program hoppas över eftersom Azure Front Door redan har valts åt dig.

    Screenshot of the principal tab for the Key Vault access policy.

  4. Granska inställningarna för åtkomstprinciper och välj sedan Skapa för att konfigurera åtkomstprincipen.

    Screenshot of the review and create tab for the Key Vault access policy.

Verifiera åtkomst

  1. Gå till Azure Front Door-profilen som du har aktiverat hanterad identitet och välj Hemligheter under Säkerhet.

    Screenshot of accessing secrets from under settings of a Front Door profile.

  2. Bekräfta att Hanterad identitet visas under kolumnen Åtkomstroll för certifikatet som används i Front Door. Om du konfigurerar hanterad identitet för första gången måste du lägga till ett certifikat i Front Door för att se den här kolumnen.

    Screenshot of Azure Front Door using managed identity to access certificate in Key Vault.

Nästa steg