Aracılığıyla paylaş

Azure Key Vault sertifikalarına erişmek için yönetilen kimlikleri kullanma

  • Makale

Microsoft Entra ID tarafından oluşturulan yönetilen kimlik, Azure Front Door örneğinizin Azure Key Vault gibi diğer Microsoft Entra korumalı kaynaklarına kolayca ve güvenli bir şekilde erişmesini sağlar. Kimlik kaynağını Azure yönetir, bu nedenle gizli dizi oluşturmak veya döndürmek zorunda değilsiniz. Yönetilen kimlikler hakkında daha fazla bilgi için bkz . Azure kaynakları için yönetilen kimlikler nelerdir?.

Azure Front Door için yönetilen kimliği etkinleştirdikten ve Azure Key Vault'unuza erişmek için uygun izinleri verdikten sonra, Front Door sertifikalara erişmek için yalnızca yönetilen kimliği kullanır. Key Vault'unuza yönetilen kimlik iznini eklemezseniz, özel sertifika otomatik döndürme ve yeni sertifika ekleme işlemleri Key Vault izinleri olmadan başarısız olur. Yönetilen kimliği devre dışı bırakırsanız Azure Front Door, özgün yapılandırılmış Microsoft Entra Uygulamasını kullanmaya geri döner. Bu çözüm önerilmez ve gelecekte kullanımdan kaldırılacaktır.

Azure Front Door profiline iki tür kimlik vekleyebilirsiniz:

  • Sistem tarafından atanan bir kimlik, hizmetinize bağlıdır ve hizmet silinirse o da silinir. Hizmet, sistem tarafından atanan tek bir kimliğe sahip olabilir.

  • Kullanıcı tarafından atanan kimlik ise hizmetinize atanabilen, tek başına bir Azure kaynağıdır. Hizmet, kullanıcı tarafından atanan birden çok kimlik içerebilir.

Yönetilen kimlikler, Azure aboneliğinizin barındırıldığı Microsoft Entra kiracısına özgüdür. Abonelik farklı bir dizine taşınırsa bunlar güncelleştirilmez. Bir abonelik taşınırsa, kimliği yeniden oluşturmanız ve yeniden yapılandırmanız gerekir.

Ayrıca rol tabanlı erişim denetimi (RBAC) veya erişim ilkesi kullanarak Azure Key Vault erişimini yapılandırma seçeneğiniz de vardır.

Önkoşullar

Azure Front Door için yönetilen kimlik ayarlayabilmeniz için önce bir Azure Front Door Standard veya Premium profili oluşturmanız gerekir. Yeni bir Front Door profili oluşturmak için bkz . Azure Front Door oluşturma.

Yönetilen kimliği etkinleştirme

  1. Mevcut bir Azure Front Door profiline gidin. Sol taraftaki menü bölmesindeki Güvenlik bölümünden Kimlik'i seçin.

    Screenshot of the identity button under settings for a Front Door profile.

  2. Sistem tarafından atanan veya Kullanıcı tarafından atanan yönetilen kimliği seçin.

    • Sistem tarafından atanan - Azure Front Door profili yaşam döngüsü için yönetilen kimlik oluşturulur ve Azure Key Vault'a erişmek için kullanılır.

    • Kullanıcı tarafından atanan - Azure Key Vault'ta kimlik doğrulaması yapmak için tek başına yönetilen kimlik kaynağı kullanılır ve kendi yaşam döngüsü vardır.

    Sistem tarafından atanan

    1. Durum'a geçin ve Kaydet'i seçin.

      Screenshot of the system assigned managed identity configuration page.

    2. Front Door profiliniz için sistem tarafından yönetilen bir kimlik oluşturmak istediğinizi onaylamanız için bir ileti istenir. Onaylamak için Evet'i seçin.

      Screenshot of the system assigned managed identity confirmation message.

    3. Sistem tarafından atanan yönetilen kimlik oluşturulduktan ve Microsoft Entra Kimliği ile kaydedildikten sonra, Azure Front Door'a Azure Key Vault'unuza erişim vermek için Nesne (sorumlu) kimliğini kullanabilirsiniz.

      Screenshot of the system assigned managed identity registered with Microsoft Entra ID.

    Kullanıcı tarafından atanan

    Kullanıcı tarafından yönetilen bir kimliğin zaten oluşturulmuş olması gerekir. Yeni kimlik oluşturmak için bkz . Kullanıcı tarafından atanan yönetilen kimlik oluşturma.

    1. Kullanıcı tarafından atanan bir yönetilen kimlik eklemek için Kullanıcı tarafından atanan sekmesinde + Ekle'yi seçin.

      Screenshot of the user assigned managed identity configuration page.

    2. Kullanıcı tarafından atanan yönetici kimliğini arayın ve seçin. Ardından Kullanıcı tarafından yönetilen kimliği Azure Front Door profiline eklemek için Ekle'yi seçin.

      Screenshot of the add user assigned managed identity page.

    3. Seçtiğiniz kullanıcı tarafından atanan yönetilen kimliğin adını Azure Front Door profilinde görürsünüz.

      Screenshot of the add user assigned managed identity added to Front Door profile.

Key Vault erişimini yapılandırma

Daha fazla bilgi için bkz . Azure rol tabanlı erişim denetimi (Azure RBAC) ve erişim ilkesi.

Rol tabanlı erişim denetimi (RBAC)

  1. Azure Key Vault'unuza gidin. Ayarlar altından Erişim denetimi (IAM) öğesini ve ardından + Ekle'yi seçin. Açılan menüden Rol ataması ekle'yi seçin.

    Screenshot of the access control (IAM) page for a Key Vault.

  2. Rol ataması ekle sayfasında, arama kutusunda Key Vault Gizli Anahtarı Kullanıcısı'nı arayın. Ardından arama sonuçlarından Key Vault Gizli Kullanıcı'yı seçin.

    Screenshot of the add role assignment page for a Key Vault.

  3. Üyeler sekmesini ve ardından Yönetilen kimlik'i seçin. Yönetilen kimliği rol atamasına eklemek için + Üye seç'i seçin.

    Screenshot of the members tab for the add role assignment page for a Key Vault.

  4. Azure Front Door'unuzla ilişkili sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği seçin ve ardından yönetilen kimliği rol atamasına eklemek için Seç'i seçin.

    Screenshot of the select members page for the add role assignment page for a Key Vault.

  5. Rol atamasını ayarlamak için Gözden geçir + ata'yı seçin.

    Screenshot of the review and assign page for the add role assignment page for a Key Vault.

Erişim ilkesi

  1. Azure Key Vault'unuza gidin. Ayarlar altından İlkelere eriş'i ve ardından + Oluştur'u seçin.

    Screenshot of the access policies page for a Key Vault.

  2. Erişim ilkesi oluştur sayfasının İzinler sekmesinde Liste'yi ve Gizli Dizi izinleri altında Al'ı seçin. Ardından, sorumlu sekmesini yapılandırmak için İleri'yi seçin.

    Screenshot of the permissions tab for the Key Vault access policy.

  3. Sorumlu sekmesinde, sistem tarafından yönetilen kimlik kullanıyorsanız nesne (sorumlu) kimliğini yapıştırın veya kullanıcı tarafından atanan bir yönetilen kimlik kullanıyorsanız bir ad girin. Ardından Gözden Geçir ve oluştur sekmesini seçin. Azure Front Door sizin için zaten seçildiğinden Uygulama sekmesi atlanır.

    Screenshot of the principal tab for the Key Vault access policy.

  4. Erişim ilkesi ayarlarını gözden geçirin ve ardından Oluştur'u seçerek erişim ilkesini ayarlayın.

    Screenshot of the review and create tab for the Key Vault access policy.

Erişimi doğrulama

  1. Yönetilen kimliği etkinleştirdiğiniz Azure Front Door profiline gidin ve Güvenlik bölümünden Gizli Diziler'i seçin.

    Screenshot of accessing secrets from under settings of a Front Door profile.

  2. Front Door'da kullanılan sertifikanın Erişim rolü sütununun altında Yönetilen kimliğin göründüğünü onaylayın. Yönetilen kimliği ilk kez ayarlanıyorsanız, bu sütunu görmek için Front Door'a bir sertifika eklemeniz gerekir.

    Screenshot of Azure Front Door using managed identity to access certificate in Key Vault.

Sonraki adımlar