使用 Azure 內容傳遞網路 的受控識別來存取 Azure 金鑰保存庫 憑證

Microsoft Entra ID 所產生的受控識別可讓您的 Azure 內容傳遞網路 實例輕鬆且安全地存取其他受 Microsoft Entra 保護的資源，例如 Azure 金鑰保存庫。 Azure 會管理身分識別資源，因此您無須建立或輪替任何祕密。 如需受控識別的詳細資訊，請參閱什麼是適用於 Azure 資源的受控識別？

啟用 Azure Front Door 的受控識別並授與存取 Azure 金鑰保存庫的適當許可權後，Azure Front Door 只會使用受控識別來存取憑證。 如果您未新增受控識別權限至 Key Vault，則會因為沒有 Key Vault 的權限，導致自訂憑證自動輪替和新增憑證失敗。 如果停用受控識別，則 Azure Front Door 會提供後援以使用原始設定的 Microsoft Entra 應用程式。 不建議使用此解決方案，未來將會淘汰。

您可以將兩種類型的身分識別授與 Azure Front Door 設定檔：

• 系統指派的身分識別會繫結至您的服務，若刪除服務則會一併刪除。 服務僅能有一個系統指派的身分識別。

• 使用者指派的身分識別是一項獨立 Azure 資源，可指派給您的服務。 服務可有多個使用者指派的身分識別。

受控識別專屬於裝載 Azure 訂用帳戶的 Microsoft Entra 租用戶。 如果訂閱移至其他目錄，這些身分識別不會隨之更新。 如果移動訂用帳戶，您必須重新建立並重新設定身分識別。

必要條件

您必須已建立 Azure Front Door 標準或進階設定檔，才能設定 Azure Front Door 的受控識別。 若要建立新的 Azure Front Door 配置檔，請參閱建立 Azure 內容傳遞網路 配置檔。

啟用受控識別

1. 移至現有的 Azure 內容傳遞網路 設定檔。 從左側功能表窗格的 [設定] 下選取 [身分識別]。

   

2. 選取系統指派或使用者指派受控識別。

   • 系統指派 - 針對 Azure 內容傳遞網路 配置檔生命週期建立受控識別，並用來存取 Azure 金鑰保存庫。

   • 使用者指派 - 用來向 Azure Key Vault 進行驗證的獨立受控識別資源，且有自己的生命週期。

   系統指派

   1. 將 [狀態] 切換到 [開啟]，然後選取 [儲存]。

      

   2. 系統會提示您輸入訊息，以確認您想要為 Azure Front Door 配置檔建立系統受控識別。 選取是以確認。

      

   3. 一旦系統指派的受控識別建立並註冊 Microsoft Entra ID，您就可以使用物件（主體）標識符，將 Azure 密鑰保存庫的存取權授與 Azure 內容傳遞網路。

      

   使用者指派

   您必須已建立使用者受控識別。 若要建立新的身分識別，請參閱 建立使用者指派的受控識別。

   1. 在 [使用者指派] 索引標籤中，選取 [+ 新增] 以新增使用者指派的受控識別。

      

   2. 搜尋並選取使用者指派的受控識別。 然後選取 [新增] 將使用者受控識別新增至 Azure 內容傳遞網路 配置檔。

      

   3. 您會看到您在 Azure 內容傳遞網路 設定檔中顯示的使用者指派受控識別名稱。

      

設定 金鑰保存庫 存取原則

1. 流覽至您的 Azure 金鑰保存庫。 選取 [設定] 下的 [存取原則]，然後選取 [+ 建立]。

   

2. 在 [建立存取原則] 頁面的 [許可權] 索引標籤上，選取 [列出] 和 [取得秘密許可權]。 然後選取 [下一步] 設定主體索引標籤。

   

3. 在 [ 主體 ] 索引標籤上，如果您使用系統受控識別，請貼上 對象（主體） 標識碼，或使用使用者指派的受控識別輸入 名稱 。 然後選取 [檢閱 + 建立] 索引標籤。已略過 [應用程式] 索引標籤，因為已為您選取 Azure Front Door。

   

4. 檢閱存取原則設定，然後選取 [建立] 設定存取原則。

   

下一步

• 瞭解如何使用標準規則引擎將 使用者重新導向至 HTTPS