Partilhar via

Usar identidades gerenciadas para acessar certificados do Azure Key Vault

Aplica-se a: ✔️ Front Door Standard ✔️ Front Door Premium

As identidades gerenciadas fornecidas pelo Microsoft Entra ID permitem que sua instância do Azure Front Door acesse com segurança outros recursos protegidos pelo Microsoft Entra, como o Azure Key Vault, sem a necessidade de gerenciar credenciais. Para obter mais informações, consulte O que são identidades gerenciadas para recursos do Azure?

Depois de habilitar a identidade gerenciada para o Azure Front Door e conceder as permissões necessárias ao seu Cofre da Chave do Azure, o Front Door usará a identidade gerenciada para acessar certificados. Sem essas permissões, a rotação automática de certificados personalizados e a adição de novos certificados falham. Se a identidade gerenciada estiver desabilitada, o Azure Front Door voltará a usar o aplicativo Microsoft Entra configurado originalmente, que não é recomendado e será preterido no futuro.

O Azure Front Door dá suporte a dois tipos de identidades gerenciadas:

  • Identidade atribuída ao sistema: essa identidade está vinculada ao seu serviço e é excluída se o serviço for excluído. Cada serviço pode ter apenas uma identidade atribuída ao sistema.
  • Identidade atribuída pelo usuário: essa identidade é um recurso autônomo do Azure que pode ser atribuído ao seu serviço. Cada serviço pode ter várias identidades atribuídas pelo usuário.

As identidades gerenciadas são específicas do locatário do Microsoft Entra onde sua assinatura do Azure está hospedada. Se uma assinatura for movida para um diretório diferente, você precisará recriar e reconfigurar a identidade.

Você pode configurar o acesso ao Cofre da Chave do Azure usando o RBAC (controle de acesso baseado em função) ou a política de acesso.

Pré-requisitos

Ativar a identidade gerida

  1. Vá para o seu perfil existente do Azure Front Door. Selecione Identidade em Segurança no menu à esquerda.

  2. Escolha uma identidade gerenciada atribuída ao sistema ou ao usuário .

    • Sistema atribuído - Uma identidade gerenciada vinculada ao ciclo de vida do perfil da Porta da Frente do Azure, usada para acessar o Cofre da Chave do Azure.

    • Usuário atribuído - Um recurso de identidade gerenciado autônomo com seu próprio ciclo de vida, usado para autenticar no Cofre de Chaves do Azure.

    Sistema atribuído

    1. Alterne o Status para Ativado e selecione Salvar.

      Captura de ecrã da página de configuração de identidade gerida atribuída ao sistema.

    2. Confirme a criação de uma identidade gerenciada pelo sistema para seu perfil de porta da frente selecionando Sim quando solicitado.

    3. Uma vez criado e registado com o ID do Microsoft Entra, use o ID do objeto (principal) para conceder acesso ao Azure Front Door ao seu Cofre de Chaves do Azure.

      Captura de ecrã da identidade gerida atribuída ao sistema registada com o Microsoft Entra ID.

    Utilizador atribuído

    Para usar uma identidade gerenciada atribuída pelo usuário, você deve ter uma já criada. Para obter instruções sobre como criar uma nova identidade, consulte Criar uma identidade gerenciada atribuída pelo usuário.

    1. Na guia Usuário atribuído, selecione + Adicionar para adicionar uma identidade gerenciada atribuída pelo usuário.

    2. Procure e selecione a identidade gerenciada atribuída pelo usuário. Em seguida, selecione Adicionar para anexá-lo ao perfil da Porta da Frente do Azure.

    3. O nome da identidade gerida atribuída ao utilizador selecionado aparece no perfil do Azure Front Door.

      Captura de ecrã da identidade gerida atribuída pelo utilizador adicionada ao perfil Front Door.

Configurar o acesso ao Cofre de Chaves

Você pode configurar o acesso ao Cofre da Chave do Azure usando um dos seguintes métodos:

Para obter mais informações, consulte Controle de acesso baseado em função do Azure (Azure RBAC) versus política de acesso.

Controlo de acesso baseado em funções (RBAC)

  1. Vá para o Cofre da Chave do Azure. Selecione Controle de acesso (IAM) no menu Configurações e, em seguida, selecione + Adicionar e escolha Adicionar atribuição de função.

  2. Na página Adicionar atribuição de função, procure por Utilizador Secreto do Cofre de Chaves e selecione-o nos resultados da pesquisa.

    Captura de ecrã da página de Adicionar atribuições de função para um Cofre de Chaves.

  3. Vá para a guia Membros , selecione Identidade gerenciada e, em seguida, selecione + Selecionar membros.

  4. Escolha as identidades gerenciadas atribuídas pelo sistema ou pelo usuário associadas ao seu Azure Front Door e selecione Selecionar.

  5. Selecione Rever + atribuir para finalizar a atribuição de função.

Política de acesso

  1. Vá para o Cofre da Chave do Azure. Em Definições, selecione Políticas de acesso e, em seguida, selecione + Criar.

  2. Na página Criar uma política de acesso, vá para a guia Permissões. Em Permissões secretas, selecione Listar e Obter. Em seguida, selecione Avançar para prosseguir para a guia principal.

  3. Na guia Principal, insira o ID do objeto (principal) para uma identidade gerenciada atribuída pelo sistema ou o nome para uma identidade gerenciada atribuída pelo usuário. Em seguida, selecione Analisar e criar. O separador Aplicação é ignorado uma vez que o Azure Front Door é selecionado automaticamente.

    Captura de ecrã do separador principal da política de acesso ao Cofre da Chave.

  4. Revise as configurações da política de acesso e selecione Criar para finalizar a política de acesso.

Verificar o acesso

  1. Vá para o perfil da Porta da Frente do Azure onde você habilitou a identidade gerenciada e selecione Segredos em Segurança.

  2. Confirme que Identidade gerida aparece na coluna Função de Acesso para o certificado usado no Front Door. Caso esteja a configurar a identidade gerida pela primeira vez, adicione um certificado ao Front Door para que esta coluna seja visível.

    Captura de ecrã do Azure Front Door a utilizar a identidade gerida para aceder ao certificado no Azure Key Vault.

Conteúdo relacionado

  • Last updated on