Поделиться через

Использование управляемых удостоверений для доступа к сертификатам Azure Key Vault

  • Статья

Управляемое удостоверение, созданное идентификатором Microsoft Entra, позволяет экземпляру Azure Front Door легко и безопасно получать доступ к другим защищенным ресурсам Microsoft Entra, таким как Azure Key Vault. Azure управляет ресурсом удостоверений, поэтому вам не нужно создавать или менять секреты. Сведения об управляемых удостоверениях см. в статье Что такое управляемые удостоверения для ресурсов Azure?.

После включения управляемого удостоверения для Azure Front Door и предоставления соответствующих разрешений для доступа к Azure Key Vault Front Door используется только управляемое удостоверение для доступа к сертификатам. Если вы не добавляете разрешение на управляемое удостоверение в Key Vault, настраиваемое автоматическое создание сертификатов и добавление новых сертификатов завершается ошибкой без разрешений в Key Vault. Если отключить управляемое удостоверение, Azure Front Door возвращается к использованию исходного настроенного приложения Microsoft Entra. Это решение не рекомендуется и будет прекращено в будущем.

Вы можете предоставить два типа удостоверений профилю Azure Front Door:

  • Назначаемое системой удостоверение привязывается к службе и удаляется при удалении этой службы. Служба может иметь только одно удостоверение, назначаемое системой.

  • Назначаемое пользователем удостоверение — это изолированный ресурс Azure, который можно назначить службе. Служба может иметь несколько удостоверений, назначенных пользователем.

Управляемые удостоверения относятся к клиенту Microsoft Entra, где размещена подписка Azure. Они не обновляются, если подписка перемещается в другой каталог. Если подписка перемещается, необходимо повторно создать и перенастроить удостоверение.

Вы также можете настроить доступ к Azure Key Vault с помощью управления доступом на основе ролей (RBAC) или политики доступа.

Необходимые компоненты

Прежде чем настроить управляемое удостоверение для Azure Front Door, необходимо создать профиль Azure Front Door уровня "Стандартный" или "Премиум". Сведения о создании профиля Front Door см. в статье о создании Azure Front Door.

Включение управляемого удостоверения

  1. Перейдите к существующему профилю Azure Front Door. Выберите удостоверение в разделе "Безопасность " в области меню слева.

    Снимок экрана: кнопка удостоверения в параметрах профиля Front Door.

  2. Выберите управляемое удостоверение, назначенное системой или назначаемое пользователем.

    • Назначаемая системой управляемое удостоверение создается для жизненного цикла профиля Azure Front Door и используется для доступа к Azure Key Vault.

    • Назначенный пользователем ресурс автономного управляемого удостоверения используется для проверки подлинности в Azure Key Vault и имеет собственный жизненный цикл.

    Назначено системой

    1. Установите переключатель "Состояние включено", а затем нажмите кнопку "Сохранить".

      Снимок экрана: страница конфигурации управляемого удостоверения, назначаемого системой.

    2. Появится запрос на подтверждение того, что вы хотите создать системное управляемое удостоверение для профиля Front Door. Выберите Да для подтверждения.

      Снимок экрана: сообщение подтверждения управляемого удостоверения, назначенное системой.

    3. После создания и регистрации управляемого удостоверения, назначаемого системой, с помощью идентификатора Microsoft Entra можно использовать идентификатор объекта (субъекта), чтобы предоставить Azure Front Door доступ к Azure Key Vault.

      Снимок экрана: управляемое удостоверение, назначенное системой, зарегистрированное в идентификаторе Microsoft Entra.

    Назначено пользователем

    У вас уже должно быть создано управляемое удостоверение пользователя. Сведения о создании нового удостоверения см. в статье о создании управляемого удостоверения, назначаемого пользователем.

    1. На вкладке "Назначаемый пользователем" нажмите кнопку +Добавить, чтобы добавить назначенное пользователем управляемое удостоверение.

      Снимок экрана: страница конфигурации управляемого удостоверения, назначаемого пользователем.

    2. Найдите и выберите удостоверение управления, назначаемое пользователем. Затем нажмите кнопку "Добавить ", чтобы добавить управляемое удостоверение пользователя в профиль Azure Front Door.

      Снимок экрана: страница добавления управляемого удостоверения, назначаемого пользователем.

    3. Вы увидите имя назначаемого пользователем управляемого удостоверения, отображаемого в профиле Azure Front Door.

      Снимок экрана: добавление управляемого удостоверения, назначаемого пользователем, добавленного в профиль Front Door.

Настройка доступа к Key Vault

  • Управление доступом на основе ролей. Предоставьте Azure Front Door доступ к Azure Key Vault с помощью azure Resource Manager.
  • Политика доступа — собственный контроль доступа к Azure Key Vault, чтобы предоставить Azure Front Door доступ к Azure Key Vault.

Дополнительные сведения см. в статье "Управление доступом на основе ролей Azure" (Azure RBAC) и политика доступа.

Управление доступом на основе ролей (RBAC)

  1. Перейдите в Azure Key Vault. Выберите элемент управления доступом (IAM) в разделе "Параметры", а затем нажмите кнопку +Добавить. Выберите " Добавить назначение ролей" в раскрывающемся меню.

    Снимок экрана: страница управления доступом (IAM) для Key Vault.

  2. На странице "Добавление назначения ролей" найдите пользователя Секрета Key Vault в поле поиска. Затем выберите "Секретный пользователь Key Vault" в результатах поиска.

    Снимок экрана: страница добавления назначения ролей для Key Vault.

  3. Перейдите на вкладку "Участники" и выберите "Управляемое удостоверение". Выберите и выберите участников , чтобы добавить управляемое удостоверение в назначение роли.

    Снимок экрана: вкладка

  4. Выберите управляемое удостоверение, назначаемое системой или назначаемое пользователем, связанное с Azure Front Door, и нажмите кнопку "Выбрать ", чтобы добавить управляемое удостоверение в назначение роли.

    Снимок экрана: страница выбора элементов для страницы добавления назначения ролей для Key Vault.

  5. Выберите "Проверить и назначить" , чтобы настроить назначение роли.

    Снимок экрана: страница проверки и назначения страницы добавления назначения ролей для Key Vault.

Политика доступа

  1. Перейдите в Azure Key Vault. Выберите политики доступа в разделе "Параметры" и нажмите кнопку "Создать".

    Снимок экрана: страница политик доступа для Key Vault.

  2. На вкладке "Разрешения" на странице "Создание политики доступа" выберите "Список" и "Получить" в разделе "Разрешения секрета". Затем нажмите кнопку "Далее ", чтобы настроить вкладку субъекта.

    Снимок экрана: вкладка разрешений для политики доступа Key Vault.

  3. На вкладке "Субъект" вставьте идентификатор объекта (субъекта), если вы используете системное управляемое удостоверение или введите имя , если вы используете управляемое удостоверение пользователя. Затем нажмите кнопку "Рецензирование и создание вкладки". Вкладка "Приложение " пропущена, так как Azure Front Door уже выбрана.

    Снимок экрана: вкладка субъекта для политики доступа к Key Vault.

  4. Просмотрите параметры политики доступа и нажмите кнопку "Создать ", чтобы настроить политику доступа.

    Снимок экрана: вкладка проверки и создания политики доступа Key Vault.

Проверка доступа

  1. Перейдите в профиль Azure Front Door, который вы включили управляемое удостоверение, и выберите секреты в разделе "Безопасность".

    Снимок экрана: доступ к секретам из параметров профиля Front Door.

  2. Убедитесь, что управляемое удостоверение отображается в столбце роли Access для сертификата, используемого в Front Door. Если вы впервые настраиваете управляемое удостоверение, необходимо добавить сертификат в Front Door, чтобы просмотреть этот столбец.

    Снимок экрана: Azure Front Door с помощью управляемого удостоверения для доступа к сертификату в Key Vault.

Следующие шаги