Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: ✔️ Front Door Standard ✔️ Front Door Premium
Tożsamości zarządzane dostarczane przez Microsoft Entra ID umożliwiają usłudze Azure Front Door bezpieczny dostęp do innych zasobów chronionych przez Microsoft Entra, takich jak Azure Key Vault, bez konieczności zarządzania poświadczeniami. Aby uzyskać więcej informacji, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?
Po włączeniu tożsamości zarządzanej dla usługi Azure Front Door i udzieleniu niezbędnych uprawnień do usługi Azure Key Vault usługa Front Door będzie używać tożsamości zarządzanej do uzyskiwania dostępu do certyfikatów. Bez tych uprawnień autorotacja certyfikatu niestandardowego i dodawanie nowych certyfikatów kończy się niepowodzeniem. Jeśli tożsamość zarządzana jest wyłączona, usługa Azure Front Door powróci do korzystania z oryginalnej skonfigurowanej aplikacji Microsoft Entra App, która nie jest zalecana i zostanie wycofana w przyszłości.
Usługa Azure Front Door obsługuje dwa typy tożsamości zarządzanych:
- Tożsamość przypisana przez system: ta tożsamość jest powiązana z usługą i jest usuwana, jeśli usługa zostanie usunięta. Każda usługa może mieć tylko jedną tożsamość przypisaną przez system.
- Tożsamość przypisana przez użytkownika: ta tożsamość jest autonomicznym zasobem platformy Azure, który można przypisać do usługi. Każda usługa może mieć wiele tożsamości przypisanych przez użytkownika.
Tożsamości zarządzane są specyficzne dla dzierżawy Microsoft Entra, w obrębie której jest hostowana twoja subskrypcja Azure. Jeśli subskrypcja zostanie przeniesiona do innego katalogu, musisz ponownie utworzyć i ponownie skonfigurować tożsamość.
Dostęp do usługi Azure Key Vault można skonfigurować przy użyciu kontroli dostępu opartej na rolach (RBAC) lub zasad dostępu.
Wymagania wstępne
Konto Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
Profil usługi Azure Front Door w warstwie Standardowa lub Premium. Aby utworzyć nowy profil, zobacz Tworzenie usługi Azure Front Door.
Włącz tożsamość zarządzaną
Przejdź do istniejącego profilu usługi Azure Front Door. Wybierz pozycję Tożsamość w obszarze Zabezpieczenia w menu po lewej stronie.
Wybierz tożsamość zarządzaną przypisaną przez system lub przypisaną przez użytkownika .
Przypisane przez system — tożsamość zarządzana związana z cyklem życia usługi Azure Front Door, służąca do uzyskiwania dostępu do usługi Azure Key Vault.
Przypisany przez użytkownika — autonomiczny zasób tożsamości zarządzanej z własnym cyklem życia używany do uwierzytelniania w usłudze Azure Key Vault.
Przypisane przez system
Przełącz pozycję Stan na Wł. , a następnie wybierz pozycję Zapisz.
Potwierdź utworzenie tożsamości zarządzanej systemu dla profilu usługi Front Door, wybierając Tak, gdy zostaniesz o to poproszony.
Po utworzeniu i zarejestrowaniu w usłudze Microsoft Entra ID, użyj identyfikatora obiektu (podmiotu), aby udzielić usłudze Azure Front Door dostępu do usługi Azure Key Vault.
Przypisany użytkownik
Aby użyć tożsamości zarządzanej przypisanej przez użytkownika, musisz mieć już utworzoną. Aby uzyskać instrukcje dotyczące tworzenia nowej tożsamości, zobacz tworzenie tożsamości zarządzanej przypisanej przez użytkownika.
Na karcie Przypisano użytkownika wybierz + Dodaj, aby dodać przypisaną tożsamość zarządzaną użytkownika.
Wyszukaj i wybierz tożsamość zarządzaną przypisaną przez użytkownika. Następnie wybierz pozycję Dodaj , aby dołączyć go do profilu usługi Azure Front Door.
Nazwa wybranej tożsamości zarządzanej przypisanej przez użytkownika jest wyświetlana w profilu usługi Azure Front Door.
Konfigurowanie dostępu do usługi Key Vault
Dostęp do usługi Azure Key Vault można skonfigurować przy użyciu jednej z następujących metod:
- Kontrola dostępu oparta na rolach (RBAC) — zapewnia szczegółową kontrolę dostępu przy użyciu usługi Azure Resource Manager.
- Zasady dostępu — używa natywnej kontroli dostępu usługi Azure Key Vault.
Aby uzyskać więcej informacji, zobacz Azure role-based access control (Azure RBAC) vs. access policy (Kontrola dostępu oparta na rolach platformy Azure) a zasady dostępu.
Kontrola dostępu oparta na rolach (RBAC)
Przejdź do usługi Azure Key Vault. Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) z menu Ustawienia , a następnie wybierz pozycję + Dodaj i wybierz pozycję Dodaj przypisanie roli.
Na stronie Dodawanie przypisania roli wyszukaj użytkownik tajemnicy Key Vault i wybierz go z wyników wyszukiwania.
Przejdź do karty Członkowie , wybierz pozycję Tożsamość zarządzana, a następnie wybierz pozycję + Wybierz członków.
Wybierz tożsamość zarządzaną przypisaną przez system lub przypisaną przez użytkownika skojarzoną z usługą Azure Front Door, a następnie wybierz pozycję Wybierz.
Wybierz opcję Przejrzyj i przypisz, aby zakończyć przypisanie roli.
Zasady dostępu
Przejdź do usługi Azure Key Vault. W obszarze Ustawienia wybierz pozycję Zasady dostępu , a następnie wybierz pozycję + Utwórz.
Na stronie Tworzenie zasad dostępu przejdź do karty Uprawnienia. W obszarze Uprawnienia dotyczące sekretów wybierz pozycję Wyświetl listę i Uzyskaj dostęp. Następnie wybierz Dalej, aby przejść do głównej karty.
Na karcie Główna wprowadź identyfikator podmiotu (główna) dla tożsamości zarządzanej przypisanej przez system lub nazwę tożsamości zarządzanej przypisanej przez użytkownika. Następnie wybierz Przejrzyj i utwórz. Karta Aplikacja jest pomijana, ponieważ usługa Azure Front Door jest wybierana automatycznie.
Przejrzyj ustawienia zasad dostępu i wybierz pozycję Utwórz , aby sfinalizować zasady dostępu.
Weryfikowanie dostępu
Przejdź do profilu usługi Azure Front Door, w którym włączono tożsamość zarządzaną i wybierz pozycję Wpisy tajne w obszarze Zabezpieczenia.
Upewnij się, że tożsamość zarządzana jest wyświetlana w kolumnie Rola dostępu dla certyfikatu używanego w usłudze Front Door. Jeśli konfigurujesz tożsamość zarządzaną po raz pierwszy, dodaj certyfikat do usługi Front Door, aby wyświetlić tę kolumnę.
