共用方式為

使用受控識別來存取 Azure Key Vault 憑證

適用於: ✔️ Front Door Standard ✔️ Front Door Premium

Microsoft Entra ID 提供的受控識別,可讓 Azure Front Door 執行個體安全地存取其他受 Microsoft Entra 保護的資源,例如 Azure Key Vault,而不需要管理認證。 如需詳細資訊,請參閱什麼是 Azure 資源受控識別?

為 Azure Front Door 啟用受控識別,並授與 Azure Key Vault 必要的權限之後,Front Door 會使用受控識別來存取憑證。 若沒有這些權限,自訂憑證自動輪替和新增憑證會失敗。 如果停用受控識別,Azure Front Door 將會還原為使用原始的 Microsoft Entra 應用程式,不建議使用,且未來將會棄用。

Azure Front Door 支援兩種類型的受控識別:

  • 系統指派的身分識別:此身分識別與您的服務繫結,如果服務被刪除,此身分識別也會被刪除。 每個服務只能有一個系統指派的身分識別。
  • 使用者指派的身分識別:這種身分識別是獨立的 Azure 資源,可以指派給您的服務。 每個服務都可以有多個使用者指派的身分識別。

受控識別專屬於裝載 Azure 訂用帳戶的 Microsoft Entra 租用戶。 如果訂用帳戶移至不同的目錄,則您需要重新建立並重新設定身分識別。

您可以使用角色型存取控制 (RBAC)存取原則來設定 Azure Key Vault 存取。

先決條件

啟用受控識別

  1. 前往您現有的 Azure Front Door 設定檔。 選取左側功能表中 [安全性] 底下的 [身分識別]

  2. 選擇系統指派使用者指派的受控識別。

    • 系統指派 - 繫結至 Azure Front Door 設定檔生命週期的受控識別,用來存取 Azure Key Vault。

    • 使用者指派 - 具有自己的生命週期的獨立受控識別資源,用來向 Azure Key Vault 驗證。

    系統指派

    1. 將 [狀態] 切換為 [開啟],然後選取 [儲存]

      螢幕擷取畫面:系統指派的受控識別設定頁面。

    2. 出現提示時請選取 [是],以確認為 Front Door 設定檔建立系統受控識別。

    3. 使用 Microsoft Entra ID 建立註冊之後,請使用 [物件 (主體) 識別碼],為 Azure Front Door 授與 Azure Key Vault 的存取權。

      使用 Microsoft Entra ID 註冊的系統指派的受控識別的螢幕擷取畫面。

    使用者指派

    若要使用使用者指派的受控識別,您必須已經建立了一個。 如需建立新身分識別的指示,請參閱建立使用者指派的受控識別

    1. 在 [使用者指派] 索引標籤中,選取 [+ 新增] 以新增使用者指派的受控識別。

    2. 搜尋並選取使用者指派的受控識別。 然後選取 [新增] 將其附加至 Azure Front Door 設定檔。

    3. 選取的使用者指派受控識別名稱會出現在 Azure Front Door 設定檔中。

      新增至 Front Door 設定檔的使用者指派受控識別的螢幕擷取畫面。

設定 Key Vault 存取

您可以使用下列其中一個方法來設定 Azure Key Vault 存取:

如需詳細資訊,請參閱 Azure 角色型存取控制 (Azure RBAC) 與存取原則

角色型存取控制 (RBAC)

  1. 前往您的 Azure Key Vault。 從 [設定] 功能選取 [存取控制 (IAM)],選取 [+ 新增],然後選擇 [新增角色指派]

  2. 在 [新增角色指派] 頁面上,搜尋 Key Vault 袐密使用者,然後從搜尋結果中選取它。

    Key Vault 的 [新增角色指派] 頁面螢幕快照。

  3. 移至 [成員] 索引標籤,選取 [受控識別],然後選取 [+ 選取成員]

  4. 選擇與 Azure Front Door 相關聯的 [系統指派] 或 [使用者指派] 受控識別,然後選取 [選取]

  5. 選取 [檢閱 + 指派] 以完成角色指派。

存取原則

  1. 前往您的 Azure Key Vault。 在 [設定] 下,選取 [存取原則],然後選取 [+ 建立]

  2. 在 [建立存取原則] 頁面上,移至 [權限] 索引標籤。於 [祕密權限] 下,選取 [列出] 和 [取得]。 然後選取 [下一步] 以繼續前往主體索引標籤。

  3. 在 [主體] 索引標籤上,輸入系統指派受控識別的 [物件 (主體) 識別碼],或使用者指派的受控識別的 [名稱]。 然後,選取 [檢閱 + 建立]。 系統會自動選取 Azure Front Door,因此會略過 [應用程式] 索引標籤。

    螢幕擷取畫面:Key Vault 存取原則的 [主體] 索引標籤。

  4. 檢閱存取原則設定,然後選取 [建立] 以完成存取原則。

驗證存取權

  1. 移至您已啟用受控識別的 Azure Front Door 設定檔,然後選取 [安全性] 下的 [祕密]

  2. 確認 [受控識別] 出現在 Front Door 所用憑證的 [存取角色] 資料行下。 如果第一次設定受控識別,請新增憑證到 Front Door,以查看此資料行。

    使用受控識別在 Key Vault 中存取憑證的 Azure Front Door 的螢幕擷取畫面。

相關內容

  • Last updated on