使用托管标识访问 Azure Key Vault 证书

适用于： ✔️ Front Door 标准 ✔️ Front Door Premium

Microsoft Entra ID 提供的托管标识使 Azure Front Door 实例能够安全地访问其他Microsoft受 Entra 保护的资源（例如 Azure Key Vault），而无需管理凭据。 有关详细信息，请参阅什么是 Azure 资源的托管标识？

为 Azure Front Door 启用托管标识并授予对 Azure Key Vault 的必要权限后，Front Door 将使用托管标识访问证书。 如果没有这些权限，自定义证书自动轮换和添加新证书会失败。 如果禁用托管标识，Azure Front Door 将还原为使用原始配置的 Microsoft Entra 应用，不建议这样做，并且将来将弃用。

Azure Front Door 支持两种类型的托管标识：

• 系统分配的标识：此标识绑定到服务，如果删除服务，则会删除。 每个服务只能有一个系统分配的标识。
• 用户分配的标识：此标识是可以分配给服务的独立 Azure 资源。 每个服务可以有多个用户分配的标识。

托管标识专属于托管您的 Azure 订阅的 Microsoft Entra 租户。 如果将订阅移动到其他目录，则需要重新创建并重新配置标识。

可以使用 基于角色的访问控制（RBAC） 或 访问策略配置 Azure Key Vault 访问。

先决条件

• 拥有有效订阅的 Azure 帐户。 创建账户。

• Azure Front Door 标准版或高级版配置。 若要创建新配置文件，请参阅 创建 Azure Front Door。

启用托管标识

1. 转到现有的 Azure Front Door 配置文件。 在左侧菜单中的“安全性”下选择“标识”。

2. 选择 系统分配 的或 用户分配的 托管标识。

   • 系统分配 - 绑定到 Azure Front Door 配置文件生命周期的托管标识，用于访问 Azure Key Vault。

   • 用户分配 - 具有自己的生命周期的独立托管标识资源，用于向 Azure Key Vault 进行身份验证。

   系统分配

   1. 将 “状态 ”切换为 “打开 ”，然后选择“ 保存”。

      

   2. 在系统提示时选择 “是” 以确认为您的 Front Door 配置文件创建系统托管标识。

   3. 创建并注册到 Microsoft Entra ID 后，使用 对象（主体）ID 授予 Azure Front Door 对 Azure Key Vault 的访问权限。

      

   用户分配

   若要使用用户分配的托管标识，则必须已创建一个用户分配的托管标识。 有关创建新标识的说明，请参阅 创建用户分配的托管标识。

   1. 在“ 用户分配 ”选项卡中，选择“ + 添加 ”以添加用户分配的托管标识。

   2. 搜索并选择用户分配的托管标识。 然后选择 “添加 ”以将其附加到 Azure Front Door 配置文件。

   3. 所选用户分配的托管身份的名称显示在 Azure Front Door 概况中。

      

配置 Key Vault 访问

可以使用以下任一方法配置 Azure Key Vault 访问：

• 基于角色的访问控制 （RBAC） - 使用 Azure 资源管理器提供精细的访问控制。
• 访问策略 - 使用 Azure Key Vault 的原生访问控制。

有关详细信息，请参阅 Azure 基于角色的访问控制（Azure RBAC）与访问策略。

基于角色的访问控制 (RBAC)

1. 转到 Azure Key Vault。 从“设置”菜单中选择“访问控制”（IAM），然后选择“+ 添加”，然后选择“添加角色分配”。

2. 在 “添加角色分配 ”页上，搜索 Key Vault 机密用户 并从搜索结果中选择它。

   

3. 转到“ 成员 ”选项卡，选择 “托管标识”，然后选择“ + 选择成员”。

4. 选择与 Azure Front Door 关联的 系统分配 或 用户分配的 托管标识，然后选择“ 选择”。

5. 选择 “查看 + 分配 ”以完成角色分配。

访问策略

1. 转到 Azure Key Vault。 在 “设置”下，选择 “访问策略 ”，然后选择“ + 创建”。

2. 在 “创建访问策略 ”页上，转到“ 权限 ”选项卡。在 “机密权限”下，选择“ 列出 ”和 “获取”。 然后选择 “下一步 ”以转到“主体”选项卡。

3. 在 “主体 ”选项卡上，输入系统分配的托管标识 的对象（主体）ID 或用户分配的托管标识 的名称 。 然后选择“ 查看 + 创建”。 自动选择 Azure Front Door 时跳过 “应用程序 ”选项卡。

   

4. 查看访问策略设置，然后选择“ 创建 ”以完成访问策略。

验证访问权限

1. 转到已启用托管标识的 Azure Front Door 配置文件，然后选择“安全性”下的机密。

2. 确认 托管标识 显示在用于 Front Door 的证书的 访问角色 列下。 如果首次设置托管身份，请将证书添加到 Front Door 服务以查看此列。

   

相关内容

• 端到端 TLS 加密
• 在 Azure Front Door 自定义域上配置 HTTPS