你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure 内容分发网络的托管标识访问 Azure 密钥保管库证书
重要
Microsoft Azure CDN Standard(经典版)将于 2027 年 9 月 30 日停用。 为了避免任何服务中断,请务必在 2027 年 9 月 30 日之前将 Microsoft Azure CDN Standard(经典版)配置文件迁移到 Azure Front Door Standard 层或 Premium 层。 有关详细信息,请参阅 Microsoft Azure CDN Standard(经典版)停用。
Edgio 的 Azure CDN 将于 2025 年 11 月 4 日停用。 为了避免服务中断,必须在此日期之前将工作负载迁移到 Azure Front Door。 有关详细信息,请参阅 Edgio 的 Azure CDN 停用常见问题解答。
借助 Microsoft Entra ID 生成的托管标识,Azure 内容分发网络实例可以轻松、安全地访问其他受 Microsoft Entra 保护的资源,例如 Azure 密钥保管库。 Azure 将管理标识资源,你无需创建或轮换任何机密。 有关托管标识的详细信息,请参阅什么是 Azure 资源托管标识?。
为 Azure Front Door 启用托管标识并授予访问 Azure 密钥保管库的适当权限后,Azure Front Door 将仅使用托管标识来访问证书。 如果未将托管标识权限添加到 Key Vault,那么在没有 Key Vault 权限的情况下,自定义证书自动轮换和添加新证书会失败。 如果禁用托管标识,Azure Front Door 会回退到使用原始配置的 Microsoft Entra 应用。 不建议使用此解决方案,将来会停用它。
可以向 Azure Front Door 配置文件授予两种类型的标识:
系统分配的标识与你的服务相关联,如果删除该服务,也会删除该标识。 服务只能有一个系统分配的标识。
用户分配的标识是可以分配给服务的独立 Azure 资源。 服务可以有多个用户分配的标识。
托管标识特定于托管 Azure 订阅的 Microsoft Entra 租户。 如果将订阅移动到其他目录,这些标识不会更新。 如果移动订阅,需要重新创建和配置标识。
先决条件
必须创建了 Azure Front Door Standard 或 Premium 配置文件,然后才能为 Azure Front Door 设置托管标识。 若要创建新的 Azure Front Door 配置文件,请参阅创建 Azure 内容分发网络配置文件。
启用托管标识
转到现有的 Azure 内容分发网络配置文件。 在左侧菜单窗格上的“设置”下选择“标识”。
选择系统分配或用户分配的托管标识。
系统分配 - 会为 Azure 内容分发网络配置文件生命周期创建托管标识,它用于访问 Azure 密钥保管库。
用户分配 - 使用独立托管标识资源用 Azure Key Vault 进行身份验证,该资源具有自身的生命周期。
系统分配
将“状态”切换为“打开”,然后选择“保存”。
系统会显示一条提示消息,要求你确认为 Azure Front Door 配置文件创建系统托管标识。 请选择“是”以确认。
创建系统分配的托管标识,并注册到 Microsoft Entra ID 后,可使用“对象(主体) ID”来支持 Azure 内容分发网络访问你的 Azure 密钥保管库。
用户分配
必须已经了创建用户托管标识。 若要创建新标识,请参阅创建用户分配的托管标识。
在“用户分配”选项卡中,选择“+ 添加”来添加用户分配的托管标识。
搜索并选择用户分配的托管标识。 然后选择“添加”以将用户托管标识添加到 Azure 内容分发网络配置文件。
你将在 Azure 内容分发网络配置文件中看到所选的用户分配的托管标识名称。
配置 Key Vault 访问策略
导航到你的 Azure 密钥保管库。 在“设置”下选择“访问策略”,然后选择“+ 创建”。
在“创建访问策略”页的“权限”选项卡上,选择“机密权限”的“列出”和“获取”。 然后,选择“下一步”来配置主体选项卡。
在“主体”选项卡上,如果你使用的是系统托管标识,请粘贴“对象(主体) ID”;如果使用的是用户分配的托管标识,请输入名称。 接着,选择“查看 + 创建”选项卡。会跳过“应用程序”选项卡,因为已为你选择了 Azure Front Door。
查看访问策略设置,然后选择“创建”以设置访问策略。
