Azure Content Delivery Network のマネージド ID を使用して Azure Key Vault 証明書にアクセスする

重要

Azure CDN Standard from Microsoft (クラシック) は、2027 年 9 月 30 日に廃止されます。 サービスの中断を回避するには、2027 年 9 月 30 日までに Azure Front Door の Standard または Premium レベルに Azure CDN Standard from Microsoft (クラシック) プロファイルを移行することが重要です。 詳細については、Azure CDN Standard from Microsoft (クラシック) の廃止に関するページを参照してください。

Azure CDN from Edgio は、2025 年 11 月 4 日に廃止される予定です。 サービスの中断を回避するには、この日までに Azure Front Door へのワークロードの移行を完了する必要があります。 詳細については、「Azure CDN from Edgio の廃止に関する FAQ」を参照してください。

Microsoft Entra ID によって生成されたマネージド ID によって、Azure Content Delivery Networkr インスタンスは、Azure Key Vault などの、Microsoft Entra で保護された他のリソースに簡単かつ安全にアクセスすることができます。 ID リソース は Azure によって管理されるため、何らかのシークレットを作成したり使い回したりする必要はありません。 マネージド ID の詳細については、「Azure リソースのマネージド ID とは」を参照してください。

Azure Front Door でマネージド ID を有効にして、Azure Key Vault にアクセスするための適切なアクセス許可を付与すると、Azure Front Door はマネージド ID だけを使って証明書にアクセスします。 マネージド ID アクセス許可を Key Vault に追加しない場合、カスタム証明書の自動ローテーションと新しい証明書の追加は、Key Vault へのアクセス許可なしで失敗します。 マネージド ID を無効にした場合、Azure Front Door は、元々構成されていた Microsoft Entra アプリの使用にフォールバックします。 この解決策は推奨されておらず、今後廃止される予定です。

Azure Front Door プロファイルには、次の 2 種類の ID を付与できます:

  • システム割り当て ID はサービスに関連付けられ、サービスが削除されると削除されます。 サービスでは、システム割り当て ID を 1 つ だけ持つことができます。

  • ユーザー割り当て ID は、サービスに割り当てることができるスタンドアロン Azure リソースです。 サービスは、複数の ユーザー割り当て ID を持つことができます。

マネージド ID は、Azure サブスクリプションがホストされている Microsoft Entra テナントに固有です。 サブスクリプションが別のディレクトリに移された場合、ID は更新されません。 サブスクリプションが移動された場合は、もう一度 ID を作成して構成する必要があります。

前提条件

Azure Front Door のマネージド ID を設定できるようになるには、Azure Front Door の Standard または Premium プロファイルの作成が必要となります。 新しい Azure Front Door プロファイルを作成するには、Azure Content Delivery Network プロファイルの作成に関するページを参照してください。

マネージド ID の有効化

  1. 既存の Azure Content Delivery Network プロファイルに移動します。 左側のメニュー ペインの [設定] の下から [ID] を選択します。

    コンテンツ配信ネットワーク プロファイルの設定の下にある ID ボタンのスクリーンショット。

  2. システム割り当てまたはユーザー割り当てのマネージド ID のどちらかを選択します。

    • システム割り当て - マネージド ID は、Azure Content Delivery Network プロファイル ライフサイクル用に作成され、Azure Key Vault へのアクセスに使用されます。

    • ユーザー割り当て - スタンドアロン マネージド ID リソースが Azure Key Vault に対して認証するために使用され、独自のライフサイクルを持ちます。

    システム割り当て

    1. [状態][オン] に切り替え、[保存] を選択します。

      システム割り当てマネージド ID を構成するページのスクリーンショット。

    2. Azure Front Door プロファイルのシステム マネージド ID を作成するかを確認するメッセージが表示されます。 [はい] を選択して確定します。

      システム割り当てマネージド ID の確認メッセージのスクリーンショット。

    3. システム割り当てマネージド ID が作成され、Microsoft Entra ID に登録されたら、オブジェクト (プリンシパル) ID を使用して、Azure Content Delivery Network の Azure Key Vault へのアクセスを許可できます。

      Microsoft Entra ID に登録されたシステム割り当てマネージド ID のスクリーンショット。

    ユーザー割り当て済み

    ユーザー マネージド ID が既に作成されている必要があります。 新しい ID を作成するには、「ユーザー割り当てマネージド ID を作成する」を参照してください。

    1. [ユーザー割り当て] タブで、[+ 追加] を選択して、ユーザー割り当てマネージド ID を追加します。

      ユーザー割り当てマネージド ID を構成するページのスクリーンショット。

    2. ユーザー割り当てマネージド ID を検索して選択します。 次に、[追加] を選択して、ユーザー マネージド ID を Azure Content Delivery Network プロファイルに追加します。

      ユーザー割り当てマネージド ID を追加するページのスクリーンショット。

    3. 選択したユーザー割り当てマネージド ID の名前が Azure Content Delivery Network プロファイルに表示されるのが確認できます。

      Azure Content Delivery Network プロファイルに追加されるユーザー割り当てマネージド ID の追加のスクリーンショット。

Key Vault のアクセス ポリシーを構成する

  1. お使いの Azure Key Vault に移動します。 [設定][アクセス ポリシー] を選択してから、[+ 作成] を選択します。

    Key Vault のアクセス ポリシー ページのスクリーンショット。

  2. [アクセス ポリシーを作成する] ページの [アクセス許可] タブで、[シークレットのアクセス許可][リスト][取得] を選択します。 次に、[次へ] を選択してプリンシパル タブを構成します。

    Key Vault アクセス ポリシーのアクセス許可をおこなうタブのスクリーンショット。

  3. [プリンシパル] タブで、システム マネージド ID を使用している場合はオブジェクト (プリンシパル) ID を貼り付け、ユーザー割り当てマネージド ID を使用している場合は名前 を入力します。 次に、[確認と作成] タブを選択します。Azure Front Door が既に選択されているため、[アプリケーション] タブはスキップされます。

    Key Vault アクセス ポリシーのためのプリンシパル タブのスクリーンショット。

  4. アクセス ポリシーの設定を確認し、[作成] を選択してアクセス ポリシーを設定します。

    Key Vault アクセス ポリシーのための「レビューおよび作成」タブのスクリーンショット。

次のステップ