Udostępnij przez

Uzyskiwanie dostępu do certyfikatów usługi Azure Key Vault przy użyciu tożsamości zarządzanych dla usługi Azure Content Delivery Network

Ważne

Usługa Azure CDN Standard firmy Microsoft (klasyczna) zostanie wycofana 30 września 2027 r. Aby uniknąć zakłóceń w działaniu usługi, należy przeprowadzić migrację profilów usługi Azure CDN Standard z usługi Microsoft (klasycznej) do warstwy Azure Front Door Standard lub Premium do 30 września 2027 r. Aby uzyskać więcej informacji, zobacz wycofanie usługi Azure CDN Standard z firmy Microsoft (wersja klasyczna).

Usługa Azure CDN z Edgio została wycofana 15 stycznia 2025 r. Aby uzyskać więcej informacji, zobacz Azure CDN from Edgio retirement FAQ.

Tożsamość zarządzana wygenerowana przez Microsoft Entra ID umożliwia instancji Azure Content Delivery Network łatwy i bezpieczny dostęp do innych zasobów chronionych przez Microsoft Entra, takich jak Azure Key Vault. Platforma Azure zarządza zasobem tożsamości, więc nie trzeba tworzyć ani zmieniać żadnych sekretów. Aby uzyskać więcej informacji na temat tożsamości zarządzanych, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?.

Po włączeniu tożsamości zarządzanej dla usługi Azure Front Door i przyznaniu odpowiednich uprawnień dostępu do magazynu kluczy platformy Azure usługa Azure Front Door używa tożsamości zarządzanej tylko do uzyskiwania dostępu do certyfikatów. Jeśli nie dodasz uprawnień tożsamości zarządzanej do usługi Key Vault, autorotacja certyfikatu niestandardowego i dodawanie nowych certyfikatów nie powiedzie się bez uprawnień do usługi Key Vault. Jeśli wyłączysz tożsamość zarządzaną, usługa Azure Front Door wróci do korzystania z oryginalnej skonfigurowanej aplikacji Microsoft Entra App. To rozwiązanie nie jest zalecane i zostanie wycofane w przyszłości.

Do profilu usługi Azure Front Door można udzielić dwóch typów tożsamości:

  • Tożsamość przypisana przez system jest powiązana z usługą i jest usuwana, gdy usługa zostanie usunięta. Usługa może mieć tylko jedną tożsamość przypisaną przez system.

  • Tożsamość przypisana przez użytkownika to autonomiczny zasób platformy Azure, który można przypisać do usługi. Usługa może mieć wiele tożsamości przypisanych przez użytkownika.

Tożsamości zarządzane są specyficzne dla dzierżawy Microsoft Entra, w obrębie której jest hostowana twoja subskrypcja Azure. Nie są one aktualizowane, jeśli subskrypcja zostanie przeniesiona do innego katalogu. Jeśli subskrypcja zostanie przeniesiona, musisz ponownie utworzyć i ponownie skonfigurować tożsamość.

Wymagania wstępne

Aby można było skonfigurować tożsamość zarządzaną dla usługi Azure Front Door, musisz mieć utworzony profil usługi Azure Front Door w warstwie Standardowa lub Premium. Aby utworzyć nowy profil usługi Azure Front Door, zobacz Tworzenie profilu usługi Azure Content Delivery Network.

Włącz tożsamość zarządzaną

  1. Przejdź do istniejącego profilu usługi Azure Content Delivery Network. Wybierz pozycję Tożsamość w obszarze Ustawienia w okienku menu po lewej stronie.

  2. Wybierz tożsamość zarządzaną przez System lub przez użytkownika.

    • Przypisane przez system — tożsamość zarządzana jest tworzona dla cyklu życia profilu Azure Content Delivery Network i służy do uzyskiwania dostępu do usługi Azure Key Vault.

    • Przypisany przez użytkownika — autonomiczny zasób tożsamości zarządzanej służy do uwierzytelniania w usłudze Azure Key Vault i ma własny cykl życia.

    Przypisane przez system

    1. Przełącz pozycję Stan na Włączone, a następnie wybierz pozycję Zapisz.

      Zrzut ekranu przedstawiający stronę konfiguracji tożsamości zarządzanej przypisanej przez system.

    2. Zostanie wyświetlony monit o potwierdzenie, że chcesz utworzyć tożsamość zarządzaną systemu dla profilu usługi Azure Front Door. Wybierz Tak, aby potwierdzić.

    3. Gdy tożsamość zarządzana przypisana przez system zostanie utworzona i zarejestrowana w Microsoft Entra ID, możesz użyć identyfikatora obiektu (podmiotu) do udzielenia usłudze Azure Content Delivery Network dostępu do magazynu kluczy platformy Azure.

    Przypisana przez użytkownika

    Musisz mieć już utworzoną tożsamość zarządzaną użytkownika. Aby utworzyć nową tożsamość, zobacz Tworzenie zarządzanej tożsamości przypisanej użytkownikowi.

    1. Na karcie Przypisane użytkownikowi wybierz pozycję + Dodaj, aby dodać tożsamość zarządzaną przypisaną użytkownikowi.

      Zrzut ekranu przedstawiający stronę konfiguracji tożsamości zarządzanej przypisanej przez użytkownika.

    2. Wyszukaj i wybierz zarządzaną tożsamość przypisaną użytkownikowi. Następnie wybierz pozycję Dodaj , aby dodać tożsamość zarządzaną użytkownika do profilu usługi Azure Content Delivery Network.

    3. W profilu usługi Azure Content Delivery Network widoczna jest nazwa przypisanej tożsamości zarządzanej przez użytkownika, którą wybrałeś.

      Zrzut ekranu przedstawiający dodanie tożsamości zarządzanej przypisanej użytkownikowi do profilu usługi Azure Content Delivery Network.

Konfigurowanie zasad dostępu usługi Key Vault

  1. Przejdź do Azure Key Vault. Wybierz pozycję Zasady dostępu w obszarze Ustawienia , a następnie wybierz pozycję + Utwórz.

  2. Na karcie Uprawnienia na stronie Tworzenie zasad dostępu, wybierz opcje Lista i Pobierz dla uprawnień sekretów. Następnie wybierz przycisk Dalej, aby skonfigurować kartę główną.

    Zrzut ekranu przedstawiający kartę uprawnień dla zasad dostępu usługi Key Vault.

  3. Na karcie Główna wklej identyfikator obiektu (Principal), jeśli używasz tożsamości zarządzanej przez system, lub wprowadź nazwę, jeśli używasz tożsamości zarządzanej przez użytkownika. Następnie wybierz kartę Przeglądanie i tworzenie . Karta Aplikacja jest pomijana, ponieważ usługa Azure Front Door jest już wybrana.

    Zrzut ekranu przedstawiający główną kartę zasad dostępu w usłudze Key Vault.

  4. Przejrzyj ustawienia zasad dostępu, a następnie wybierz pozycję Utwórz , aby skonfigurować zasady dostępu.

Następne kroki

  • Last updated on