Použití spravovaných identit pro přístup k certifikátům služby Azure Key Vault

Spravovaná identita vygenerovaná id Microsoft Entra umožňuje vaší instanci služby Azure Front Door snadno a bezpečně přistupovat k dalším prostředkům chráněným Microsoft Entra, jako je Azure Key Vault. Azure spravuje prostředek identity, takže nemusíte vytvářet ani obměňovat tajné kódy. Další informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure?

Jakmile povolíte spravovanou identitu pro Azure Front Door a udělíte správná oprávnění pro přístup ke službě Azure Key Vault, služba Front Door pro přístup k certifikátům používá jenom spravovanou identitu. Pokud ke službě Key Vault nepřidáte oprávnění ke spravované identitě, vlastní autorotace certifikátů a přidání nových certifikátů selže bez oprávnění ke službě Key Vault. Pokud spravovanou identitu zakážete, Azure Front Door se vrátí k použití původní nakonfigurované aplikace Microsoft Entra. Toto řešení se nedoporučuje a v budoucnu bude vyřazeno.

Profil služby Azure Front Door můžete udělit dvěma typům identit:

  • Identita přiřazená systémem je svázaná s vaší službou a při odstranění služby se odstraní. Služba může mít pouze jednu identitu přiřazenou systémem.

  • Identita přiřazená uživatelem je samostatný prostředek Azure, který je možné přiřadit k vaší službě. Služba může mít více identit přiřazených uživatelem.

Spravované identity jsou specifické pro tenanta Microsoft Entra, kde je vaše předplatné Azure hostované. Neaktualizují se, pokud se předplatné přesune do jiného adresáře. Pokud se předplatné přesune, musíte identitu znovu vytvořit a znovu nakonfigurovat.

Máte také možnost nakonfigurovat přístup ke službě Azure Key Vault pomocí řízení přístupu na základě role (RBAC) nebo zásad přístupu.

Požadavky

Než budete moct nastavit spravovanou identitu pro Azure Front Door, musíte mít vytvořený profil Azure Front Door Standard nebo Premium. Pokud chcete vytvořit nový profil služby Front Door, přečtěte si téma Vytvoření služby Azure Front Door.

Povolení spravované identity

  1. Přejděte na existující profil služby Azure Front Door. V části Zabezpečení v podokně nabídek na levé straně vyberte Identitu.

    Snímek obrazovky s tlačítkem identity v nastavení profilu služby Front Door

  2. Vyberte spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem.

    • Přiřazený systém – spravovaná identita se vytvoří pro životní cyklus profilu služby Azure Front Door a používá se pro přístup ke službě Azure Key Vault.

    • Přiřazený uživatel – k ověření ve službě Azure Key Vault se používá samostatný prostředek spravované identity a má vlastní životní cyklus.

    Přiřazená systémem

    1. Přepněte stav na Zapnuto a pak vyberte Uložit.

      Snímek obrazovky se stránkou konfigurace spravované identity přiřazené systémem

    2. Zobrazí se výzva se zprávou, že chcete pro svůj profil služby Front Door vytvořit spravovanou identitu systému. Potvrďte výběrem možnosti Ano.

      Snímek obrazovky se zprávou potvrzení spravované identity přiřazené systémem

    3. Jakmile se spravovaná identita přiřazená systémem vytvoří a zaregistruje pomocí ID Microsoft Entra, můžete pomocí ID objektu (objektu) udělit službě Azure Front Door přístup ke službě Azure Key Vault.

      Snímek obrazovky se spravovanou identitou přiřazenou systémem zaregistrovanou s ID Microsoft Entra

    Přiřazená uživatelem

    Už musíte mít vytvořenou identitu spravovanou uživatelem. Pokud chcete vytvořit novou identitu, přečtěte si téma Vytvoření spravované identity přiřazené uživatelem.

    1. Na kartě Přiřazené uživatelem vyberte + Přidat a přidejte spravovanou identitu přiřazenou uživatelem.

      Snímek obrazovky se stránkou konfigurace spravované identity přiřazené uživatelem

    2. Vyhledejte a vyberte spravovanou identitu přiřazenou uživatelem. Potom vyberte Přidat a přidejte identitu spravovanou uživatelem do profilu služby Azure Front Door.

      Snímek obrazovky se stránkou přidat spravovanou identitu přiřazenou uživatelem

    3. Zobrazí se název spravované identity přiřazené uživatelem, kterou jste vybrali v profilu služby Azure Front Door.

      Snímek obrazovky s přidanou spravovanou identitou přiřazenou uživatelem přidanou do profilu služby Front Door


Konfigurace přístupu ke službě Key Vault

  • Řízení přístupu na základě role – Udělte službě Azure Front Door přístup ke službě Azure Key Vault s jemně odstupňovaným řízením přístupu pomocí Azure Resource Manageru.
  • Zásady přístupu – Nativní řízení přístupu ke službě Azure Key Vault za účelem udělení přístupu ke službě Azure Key Vault službě Azure Front Door

Další informace najdete v tématu Řízení přístupu na základě role v Azure (Azure RBAC) vs. zásady přístupu.

Řízení přístupu na základě role (RBAC)

  1. Přejděte do služby Azure Key Vault. V části Nastavení vyberte Řízení přístupu (IAM) a pak vyberte + Přidat. V rozevírací nabídce vyberte Přidat přiřazení role.

    Snímek obrazovky se stránkou řízení přístupu (IAM) pro key Vault

  2. Na stránce Přidat přiřazení role vyhledejte ve vyhledávacím poli tajný klíč key vaultu uživatele. Pak ve výsledcích hledání vyberte uživatele tajného klíče služby Key Vault.

    Snímek obrazovky se stránkou pro přidání přiřazení role pro Key Vault

  3. Vyberte kartu Členové a pak vyberte Spravovaná identita. Výběrem + Vybrat členy přidejte spravovanou identitu k přiřazení role.

    Snímek obrazovky s kartou Členové na stránce pro přidání přiřazení role pro Key Vault

  4. Vyberte spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem přidruženou k vaší službě Azure Front Door a pak vyberte Vybrat a přidejte spravovanou identitu k přiřazení role.

    Snímek obrazovky se stránkou pro výběr členů pro stránku pro přidání přiřazení role pro key Vault

  5. Výběrem možnosti Zkontrolovat a přiřadit nastavte přiřazení role.

    Snímek obrazovky s kontrolou a přiřazením stránky pro stránku pro přiřazení role pro službu Key Vault

Zásady přístupu

  1. Přejděte do služby Azure Key Vault. V části Nastavení vyberte Zásady přístupu a pak vyberte + Vytvořit.

    Snímek obrazovky se stránkou zásad přístupu pro službu Key Vault

  2. Na kartě Oprávnění na stránce Vytvořit zásadu přístupu vyberte Seznam a Získat v části Oprávnění tajných kódů. Pak vyberte Další a nakonfigurujte kartu objektu zabezpečení.

    Snímek obrazovky s kartou oprávnění pro zásady přístupu ke službě Key Vault

  3. Na kartě Objekt zabezpečení vložte ID objektu (objektu zabezpečení), pokud používáte spravovanou identitu systému, nebo zadejte název, pokud používáte spravovanou identitu přiřazenou uživatelem. Pak vyberte Zkontrolovat a vytvořit kartu. Karta Aplikace se přeskočí, protože už je vybraná služba Azure Front Door.

    Snímek obrazovky s kartou objektu zabezpečení pro zásady přístupu ke službě Key Vault

  4. Zkontrolujte nastavení zásad přístupu a pak vyberte Vytvořit a nastavte zásady přístupu.

    Snímek obrazovky se kontrolou a vytvořením karty pro zásady přístupu ke službě Key Vault

Ověření přístupu

  1. Přejděte do profilu služby Azure Front Door, který jste povolili spravovanou identitu, a v části Zabezpečení vyberte Tajné kódy.

    Snímek obrazovky s přístupem k tajným kódům z nastavení profilu služby Front Door

  2. Ověřte, že se spravovaná identita zobrazí ve sloupci role Access pro certifikát použitý ve službě Front Door. Pokud spravovanou identitu nastavujete poprvé, musíte do služby Front Door přidat certifikát, aby se tento sloupec zobrazil.

    Snímek obrazovky služby Azure Front Door s využitím spravované identity pro přístup k certifikátu ve službě Key Vault

Další kroky