共用方式為

使用 Azure 內容傳遞網路的受控識別來存取 Azure Key Vault 憑證

  • 發行項

重要

Microsoft (傳統) 的 Azure 標準 CDN 將於 2027 年 9 月 30 日淘汰。 為了避免任何服務中斷,請務必在 2027 年 9 月 30 日之前將您的 Microsoft (傳統) 的 Azure 標準 CDN 設定檔移轉到 Azure Front Door 標準或進階層。 如需詳細資訊,請參閱 Microsoft (傳統) 的 Azure 標準 CDN 淘汰

Microsoft Entra ID 所產生受控識別可讓您的 Azure 內容傳遞網路執行個體輕鬆安全存取其他受 Microsoft Entra 保護的資源,例如 Azure Key Vault。 Azure 會管理身分識別資源,因此您無須建立或輪替任何祕密。 如需受控識別的詳細資訊,請參閱什麼是適用於 Azure 資源的受控識別?

在 Azure Front Door 中啟用受控識別並授與存取您的 Azure Key Vault 的適當權限後,Azure Front Door 只會使用受控識別來存取憑證。 如果您未新增受控識別權限至 Key Vault,則會因為沒有 Key Vault 的權限,導致自訂憑證自動輪替和新增憑證失敗。 如果停用受控識別,則 Azure Front Door 會提供後援以使用原始設定的 Microsoft Entra 應用程式。 不建議使用此解決方案,未來將會淘汰。

您可以將兩種類型的身分識別授與 Azure Front Door 設定檔:

  • 系統指派的身分識別會繫結至您的服務,若刪除服務則會一併刪除。 服務僅能有一個系統指派的身分識別。

  • 使用者指派的身分識別是一項獨立 Azure 資源,可指派給您的服務。 服務可有多個使用者指派的身分識別。

受控識別專屬於裝載 Azure 訂用帳戶的 Microsoft Entra 租用戶。 如果訂閱移至其他目錄,這些身分識別不會隨之更新。 如果訂閱已移動,您需要重新建立並重新設定身分識別。

必要條件

您必須已建立 Azure Front Door 標準或進階設定檔,才能設定 Azure Front Door 的受控識別。 若要建立新的 Azure Front Door 設定檔,請參閱建立 Azure 內容傳遞網路設定檔

啟用受控識別

  1. 移至現有的 Azure 內容傳遞網路設定檔。 從左側功能表窗格的 [設定] 底下選取 [身分識別]

    內容傳遞網路設定檔的設定下的 [身分識別] 按鈕的螢幕擷取畫面。

  2. 選取系統指派使用者指派受控識別。

    • 系統指派 - 針對 Azure 內容傳遞網路設定檔生命週期建立的受控識別,可用於存取 Azure Key Vault。

    • 使用者指派 - 用來向 Azure Key Vault 進行驗證的獨立受控識別資源,且有自己的生命週期。

    系統指派

    1. 將 [狀態] 切換到 [開啟],然後選取 [儲存]

      螢幕擷取畫面:系統指派的受控識別設定頁面。

    2. 您會收到訊息提示,以確認您要為您的 Azure Front Door 設定檔建立系統受控識別。 選取以確認。

      螢幕擷取畫面:系統指派的受控識別確認訊息。

    3. 建立好系統指派的受控識別,並向 Microsoft Entra ID 註冊之後,您就可以使用 [物件 (主體) 識別碼] 將 Azure 內容傳遞網路存取權授與給您的 Azure Key Vault。

      使用 Microsoft Entra ID 註冊的系統指派的受控識別的螢幕擷取畫面。

    使用者指派

    您必須已建立使用者受控識別。 若要建立新的身分識別,請參閱建立使用者指派的受控識別

    1. 在 [使用者指派] 索引標籤中,選取 [+ 新增] 以新增使用者指派的受控識別。

      螢幕擷取畫面:使用者指派的受控識別設定頁面。

    2. 搜尋並選取使用者指派的受控識別。 然後選取 [新增] 將使用者受控識別新增至 Azure 內容傳遞網路設定檔。

      螢幕擷取畫面:新增使用者指派的受控識別頁面。

    3. 您會在 Azure 內容傳遞網路設定檔中看到所選取的使用者指派受控識別名稱。

      將使用者指派的受控識別新增至 Azure 內容傳遞網路設定檔的螢幕擷取畫面。

設定 Key Vault 存取原則

  1. 瀏覽至您的 Azure 金鑰保存庫。 選取 [設定] 下的 [存取原則],然後選取 [+ 建立]

    金鑰保存庫的存取原則頁面的螢幕擷取畫面。

  2. 在 [建立存取原則] 頁面的 [權限] 索引標籤上,選取 [祕密權限] 的 [列出] 和 [取得]。 然後選取 [下一步] 設定主體索引標籤。

    螢幕擷取畫面:Key Vault 存取原則的 [權限] 索引標籤。

  3. 在 [主體] 索引標籤上:如果使用系統受控識別,請貼上物件 (主體) 識別碼;如果您正在使用使用者指派的受控識別,請輸入名稱。 然後選取 [檢閱 + 建立] 索引標籤。已略過 [應用程式] 索引標籤,因為已為您選取 Azure Front Door。

    螢幕擷取畫面:Key Vault 存取原則的 [主體] 索引標籤。

  4. 檢閱存取原則設定,然後選取 [建立] 設定存取原則。

    螢幕擷取畫面:Key Vault 存取原則的 [檢閱與建立] 索引標籤。

下一步