Verwenden von verwalteten Identitäten für den Zugriff auf Azure Key Vault-Zertifikate

Mithilfe einer von Microsoft Entra ID generierten verwalteten Identität kann Ihre Azure Front Door-Instanz einfach und sicher auf andere mit Microsoft Entra geschützte Ressourcen wie Azure Key Vault zugreifen. Azure verwaltet die Identitätsressource, sodass Sie keine Geheimnisse erstellen oder rotieren müssen. Weitere Informationen zu verwalteten Identitäten finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.

Nachdem Sie verwaltete Identität für Azure Front Door aktiviert und die richtigen Berechtigungen für den Zugriff auf ihren Azure Key Vault erteilt haben, verwendet Front Door nur die verwaltete Identität, um auf die Zertifikate zuzugreifen. Wenn Sie ihrem Key Vault nicht die Berechtigung für die verwaltete Identität hinzufügen, schlagen die automatische benutzerdefinierte Zertifikatrotation und das Hinzufügen neuer Zertifikate ohne Berechtigungen zum Key Vault fehl. Wenn Sie die verwaltete Identität deaktivieren, greift Azure Front Door auf die Verwendung der ursprünglich konfigurierten Microsoft Entra-App zurück. Diese Lösung wird nicht empfohlen und wird in Zukunft eingestellt.

Sie können einem Azure Front Door-Profil zwei Arten von Identitäten gewähren:

  • Eine systemseitig zugewiesene Identität ist an Ihren Dienst gebunden und wird gelöscht, wenn der Dienst gelöscht wird. Der Dienst kann nur über eine systemseitig zugewiesene Identität verfügen.

  • Eine benutzerseitig zugewiesene Identität ist eine eigenständige Azure-Ressource, die Ihrem Dienst zugewiesen werden kann. Der Dienst kann über mehrere benutzerseitig zugewiesene Identitäten verfügen.

Verwaltete Identitäten sind spezifisch für den Microsoft Entra-Mandanten, in dem Ihr Azure-Abonnement gehostet wird. Sie werden nicht aktualisiert, wenn ein Abonnement in ein anderes Verzeichnis verschoben wird. Wenn ein Abonnement verschoben wird, müssen Sie die Identität neu erstellen und konfigurieren.

Sie haben auch die Möglichkeit, den Azure Key Vault-Zugriff mit rollenbasierter Zugriffssteuerung (RBAC) oder Zugriffsrichtlinie zu konfigurieren.

Voraussetzungen

Bevor Sie eine verwaltete Identität für Azure Front Door einrichten können, benötigen Sie ein Azure Front Door Standard- oder Premium-Profil. Informationen zum Erstellen eines neuen Front Door-Profils finden Sie unter Erstellen eines Profils für Front Door.

Aktivieren einer verwalteten Identität

  1. Navigieren Sie zu einem funktionierenden Azure Front Door-Profil. Wählen Sie im linken Seitenmenü unter Sicherheit die Option Identität aus.

    Screenshot: Schaltfläche „Identität“ unter „Einstellungen“ für ein Front Door-Profil.

  2. Wählen Sie entweder eine systemseitig zugewiesene oder benutzerseitig zugewiesene verwaltete Identität aus.

    • Systemseitig zugewiesen: Eine verwaltete Identität wird für den Lebenszyklus des Azure Front Door-Profils erstellt und für den Zugriff auf einen Azure Key Vault verwendet.

    • Benutzerseitig zugewiesen: Eine eigenständige verwaltete Identitätsressource, die zur Authentifizierung bei einem Azure Key Vault verwendet wird und einen eigenen Lebenszyklus hat.

    Vom System zugewiesen

    1. Wechseln Sie den Status in Ein, und wählen Sie dann Speichern aus.

      Screenshot: Konfigurationsseite für die systemseitig zugewiesene verwaltete Identität.

    2. Sie werden mit einer Meldung aufgefordert, zu bestätigen, dass Sie eine vom systemseitig verwaltete Identität für Ihr Front Door-Profil erstellen möchten. Klicken Sie auf Ja, um zu bestätigen.

      Screenshot: Bestätigungsmeldung für die systemseitig zugewiesene verwaltete Identität.

    3. Nachdem die systemseitig zugewiesene verwaltete Identität erstellt und bei Microsoft Entra ID registriert ist, können Sie die Objekt-ID (Prinzipal-ID) verwenden, um Azure Front Door den Zugriff auf Ihren Azure Key Vault zu gewähren.

      Screenshot einer bei Microsoft Entra ID registrierten systemseitig zugewiesenen verwalteten Identität

    Vom Benutzer zugewiesen

    Sie müssen bereits eine benutzerseitig verwaltete Identität erstellt haben. Informationen zum Erstellen einer neuen Identität finden Sie unter Erstellen einer benutzerseitig zugewiesenen verwalteten Identität.

    1. Wählen Sie auf der Registerkarte Benutzerseitig zugewiesen die Option + Hinzufügen aus, um eine benutzerseitig zugewiesene verwaltete Identität hinzuzufügen.

      Screenshot: Konfigurationsseite für die benutzerseitig zugewiesene verwaltete Identität.

    2. Suchen Sie die vom benutzerseitig zugewiesene verwaltete Identität, und wählen Sie sie aus. Wählen Sie dann Hinzufügen aus, um die benutzerseitig zugewiesene verwaltete Identität zum Azure Front Door-Profil hinzuzufügen.

      Screenshot: Seite zum Hinzufügen einer benutzerseitig zugewiesenen verwalteten Identität.

    3. Im Azure Front Door-Profil wird der Name der ausgewählten benutzerseitig zugewiesenen verwalteten Identität angezeigt.

      Screenshot: Hinzufügen einer benutzerseitig zugewiesenen verwalteten Identität zum Front Door-Profile.


Konfigurieren des Key Vault-Zugriffs

  • Rollenbasierte Zugriffssteuerung – Gewähren Sie Azure Front Door Zugriff auf Ihren Azure Key Vault mit fein abgestimmter Zugriffssteuerung mit Azure Resource Manager.
  • Zugriffsrichtlinie – Systemeigene Zugriffssteuerung für Azure Key Vault, um Azure Front Door Zugriff auf Ihren Azure Key Vault zu gewähren.

Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) im Gegensatz zur Zugriffsrichtlinie.

Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)

  1. Navigieren Sie zu Ihrer Azure Key Vault-Instanz. Wählen Sie Access Control (IAM) unter Einstellungen aus, und wählen Sie dann + Hinzufügen aus. Wählen Sie Rollenzuweisung hinzufügen aus dem Dropdownmenü aus.

    Screenshot der Seite zur Zugriffssteuerung (IAM) für einen Key Vault.

  2. Suchen Sie auf der Seite Rollenzuweisung hinzufügen im Suchfeld nach Key Vault Secret User. Wählen Sie dann Key Vault Secret User aus den Suchergebnissen aus.

    Screenshot der Seite „Rollenzuweisung hinzufügen“ für einen Key Vault.

  3. Wählen Sie die Registerkarte Mitglieder und dann Verwaltete Identität aus. Wählen Sie + Mitglieder auswählen aus, um der Rollenzuweisung die verwaltete Identität hinzuzufügen.

    Screenshot der Registerkarte „Mitglieder“ für die Seite „Rollenzuweisung hinzufügen“ für einen Key Vault.

  4. Wählen Sie die vom System zugewiesene oder von Benutzern zugewiesene verwaltete Identität aus, die Ihrer Azure Front Door zugeordnet ist, und wählen Sie dann Auswählen aus, um der Rollenzuweisung die verwaltete Identität hinzuzufügen.

    Screenshot der Seite „Mitglieder auswählen“ für die Seite „Rollenzuweisung hinzufügen“ für einen Key Vault.

  5. Wählen Sie Überprüfen und zuweisen, um die Rollenzuweisung einzurichten.

    Screenshot der Seite „Überprüfen und Zuweisen“ für die Seite „Rollenzuweisung hinzufügen“ für einen Key Vault.

Zugriffsrichtlinie

  1. Navigieren Sie zu Ihrer Azure Key Vault-Instanz. Wählen Sie unter Einstellungen die Option Zugriffsrichtlinien und anschließend + Erstellen aus.

    Screenshot: Seite mit den Zugriffsrichtlinien für einen Schlüsseltresor.

  2. Wählen Sie auf der Registerkarte Berechtigungen der Seite Zugriffsrichtlinie erstellen unter Geheimnisberechtigungen die Optionen Auflisten und Abrufen aus. Wählen Sie dann Weiter aus, um die Registerkarte für den Prinzipal zu konfigurieren.

    Screenshot: Registerkarte „Berechtigungen“ für die Key Vault-Zugriffsrichtlinie.

  3. Fügen Sie auf der Registerkarte Prinzipal die Objekt-ID (Prinzipal-ID) ein, wenn Sie eine systemseitig verwaltete Identität verwenden, bzw. geben Sie einen Namen ein, wenn Sie eine benutzerseitig zugewiesene verwaltete Identität verwenden. Wählen Sie dann die Registerkarte Überprüfen + Erstellen aus. Die Registerkarte Anwendung wird übersprungen, da Azure Front Door bereits für Sie ausgewählt wurde.

    Screenshot: Registerkarte „Prinzipal“ für die Key Vault-Zugriffsrichtlinie.

  4. Überprüfen Sie die Zugriffsrichtlinieneinstellungen, und wählen Sie dann Erstellen aus, um die Zugriffsrichtlinie einzurichten.

    Screenshot: Registerkarte „Überprüfen und erstellen“ für die Key Vault-Zugriffsrichtlinie.

Zugriff überprüfen

  1. Wechseln Sie zu dem Azure Front Door-Profil, das Sie für die verwaltete Identität aktiviert haben, und wählen Sie unter Sicherheit die Option Geheimnisse aus.

    Screenshot: Zugriff auf Geheimnisse eines Front Door-Profils unter „Einstellungen“.

  2. Vergewissern Sie sich, dass unter der Spalte Zugriffsrolle für das in Front Door verwendete Zertifikat Verwaltete Identität angezeigt wird. Wenn Sie die verwaltete Identität zum ersten Mal einrichten, müssen Sie der Front Door ein Zertifikat hinzufügen, um diese Spalte anzuzeigen.

    Screenshot: Azure Front Door mit verwalteter Identität für den Zugriff auf das Zertifikat in Key Vault.

Nächste Schritte