使用英语阅读

通过


你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure 内容分发网络的托管标识访问 Azure 密钥保管库证书

重要

Microsoft Azure CDN Standard(经典版)将于 2027 年 9 月 30 日停用。 为了避免任何服务中断,请务必在 2027 年 9 月 30 日之前将 Microsoft Azure CDN Standard(经典版)配置文件迁移到 Azure Front Door Standard 层或 Premium 层。 有关详细信息,请参阅 Microsoft Azure CDN Standard(经典版)停用

Edgio 的 Azure CDN 将于 2025 年 1 月 15 日停用。 为了避免服务中断,必须在此日期之前将工作负载迁移到 Azure Front Door。 有关详细信息,请参阅 Edgio 的 Azure CDN 停用常见问题解答

借助 Microsoft Entra ID 生成的托管标识,Azure 内容分发网络实例可以轻松、安全地访问其他受 Microsoft Entra 保护的资源,例如 Azure 密钥保管库。 Azure 将管理标识资源,你无需创建或轮换任何机密。 有关托管标识的详细信息,请参阅什么是 Azure 资源托管标识?

为 Azure Front Door 启用托管标识并授予访问 Azure 密钥保管库的适当权限后,Azure Front Door 将仅使用托管标识来访问证书。 如果未将托管标识权限添加到 Key Vault,那么在没有 Key Vault 权限的情况下,自定义证书自动轮换和添加新证书会失败。 如果禁用托管标识,Azure Front Door 会回退到使用原始配置的 Microsoft Entra 应用。 不建议使用此解决方案,将来会停用它。

可以向 Azure Front Door 配置文件授予两种类型的标识:

  • 系统分配的标识与你的服务相关联,如果删除该服务,也会删除该标识。 服务只能有一个系统分配的标识。

  • 用户分配的标识是可以分配给服务的独立 Azure 资源。 服务可以有多个用户分配的标识。

托管标识特定于托管 Azure 订阅的 Microsoft Entra 租户。 如果将订阅移动到其他目录,这些标识不会更新。 如果移动订阅,需要重新创建和配置标识。

先决条件

必须创建了 Azure Front Door Standard 或 Premium 配置文件,然后才能为 Azure Front Door 设置托管标识。 若要创建新的 Azure Front Door 配置文件,请参阅创建 Azure 内容分发网络配置文件

启用托管标识

  1. 转到现有的 Azure 内容分发网络配置文件。 在左侧菜单窗格上的“设置”下选择“标识”。

    内容分发网络配置文件的设置下的标识按钮的屏幕截图。

  2. 选择系统分配或用户分配的托管标识。

    • 系统分配 - 会为 Azure 内容分发网络配置文件生命周期创建托管标识,它用于访问 Azure 密钥保管库

    • 用户分配 - 使用独立托管标识资源用 Azure Key Vault 进行身份验证,该资源具有自身的生命周期。

    系统分配

    1. 将“状态”切换为“打开”,然后选择“保存”。

      系统分配的托管标识配置页的屏幕截图。

    2. 系统会显示一条提示消息,要求你确认为 Azure Front Door 配置文件创建系统托管标识。 请选择“是”以确认。

      系统分配的托管标识确认消息的屏幕截图。

    3. 创建系统分配的托管标识,并注册到 Microsoft Entra ID 后,可使用“对象(主体) ID”来支持 Azure 内容分发网络访问你的 Azure 密钥保管库。

      注册到 Microsoft Entra ID 的系统分配的托管标识的屏幕截图。

    用户分配

    必须已经了创建用户托管标识。 若要创建新标识,请参阅创建用户分配的托管标识

    1. 在“用户分配”选项卡中,选择“+ 添加”来添加用户分配的托管标识。

      用户分配的托管标识配置页的屏幕截图。

    2. 搜索并选择用户分配的托管标识。 然后选择“添加”以将用户托管标识添加到 Azure 内容分发网络配置文件

      添加用户分配的托管标识页的屏幕截图。

    3. 你将在 Azure 内容分发网络配置文件中看到所选的用户分配的托管标识名称。

      将用户分配的托管标识添加到 Azure 内容分发网络配置文件的屏幕截图。

配置 Key Vault 访问策略

  1. 导航到你的 Azure 密钥保管库。 在“设置”下选择“访问策略”,然后选择“+ 创建”。

    密钥保管库的访问策略页的屏幕截图。

  2. 在“创建访问策略”页的“权限”选项卡上,选择“机密权限”的“列出”和“获取”。 然后,选择“下一步”来配置主体选项卡。

    密钥保管库访问策略的权限选项卡的屏幕截图。

  3. 在“主体”选项卡上,如果你使用的是系统托管标识,请粘贴“对象(主体) ID”;如果使用的是用户分配的托管标识,请输入名称。 接着,选择“查看 + 创建”选项卡。会跳过“应用程序”选项卡,因为已为你选择了 Azure Front Door。

    密钥保管库访问策略的主体选项卡的屏幕截图。

  4. 查看访问策略设置,然后选择“创建”以设置访问策略。

    密钥保管库访问策略的查看和创建选项卡的屏幕截图。

后续步骤