适用于: ✔️ Front Door 标准 ✔️ Front Door 高级版
Microsoft Entra ID 提供的托管标识使 Azure Front Door 实例能够安全地访问其他受 Microsoft Entra 保护的资源(例如 Azure 密钥保管库),而无需管理凭据。 有关详细信息,请参阅什么是 Azure 资源的托管标识?
为 Azure Front Door 启用托管标识并授予对 Azure 密钥保管库的所需权限后,Front Door 将使用托管标识来访问证书。 如果没有这些权限,自定义证书自动轮换和添加新证书将会失败。 如果禁用托管标识,Azure Front Door 将恢复为使用原始配置的 Microsoft Entra 应用;不建议这样做,并且将来会弃用此设置。
Azure Front Door 支持两种类型的托管标识:
- 系统分配的标识:此标识与你的服务相关联,如果删除该服务,也会删除该标识。 每个服务只能有一个系统分配的标识。
- 用户分配的标识:此标识是可以分配给服务的独立 Azure 资源。 每个服务可以有多个用户分配的标识。
托管标识特定于托管 Azure 订阅的 Microsoft Entra 租户。 如果将订阅移动到不同的目录,则需要重新创建并重新配置标识。
可以使用基于角色的访问控制 (RBAC) 或访问策略来配置 Azure 密钥保管库访问。
先决条件
拥有有效订阅的 Azure 帐户。 免费创建帐户。
Azure Front Door 标准或高级配置文件。 若要创建新的配置文件,请参阅创建 Azure Front Door。
启用托管标识
转到现有 Azure Front Door 配置文件。 在左侧菜单中,选择“安全”下的“标识”。
选择“系统分配”或“用户分配”的托管标识。
系统分配 - 与 Azure Front Door 配置文件生命周期绑定的托管标识,用于访问 Azure 密钥保管库。
用户分配 - 具有自身生命周期的独立托管标识资源,用于向 Azure 密钥保管库进行身份验证。
系统分配
将“状态”切换为“开”,然后选择“保存”。
出现提示时,请选择“是”,确认为 Front Door 配置文件创建系统托管标识。
创建并注册 Microsoft Entra ID 后,使用“对象(主体)ID”授予 Azure Front Door 对 Azure 密钥保管库的访问权限。
用户分配
若要使用用户分配的托管标识,必须事先创建一个。 有关创建新标识的说明,请参阅创建用户分配的托管标识。
在“用户分配”选项卡中,选择“+ 添加”以添加用户分配的托管标识。
搜索并选择用户分配的托管标识。 然后选择“添加”以将其附加到 Azure Front Door 配置文件。
所选用户分配的托管标识的名称将显示在 Azure Front Door 配置文件中。
配置 Key Vault 访问权限
可以使用以下任一方法配置 Azure 密钥保管库访问权限:
有关详细信息,请参阅 Azure 基于角色的访问控制 (Azure RBAC) 与访问策略。
基于角色的访问控制 (RBAC)
访问你的 Azure 密钥保管库。 从“设置”菜单中选择“访问控制 (IAM)”,然后选择“+ 添加”,并选择“添加角色分配”。
在“添加角色分配”页面上,搜索“密钥保管库机密用户”并从搜索结果中选择它。
转到“成员”选项卡,选择“托管标识”,然后选择“+ 选择成员”。
选择与 Azure Front Door 关联的“系统分配”或“用户分配”的托管标识,然后选择“选择”。
选择“查看 + 分配”完成角色分配。
访问策略
转到 Azure Key Vault。 在“设置”下选择“访问策略”,然后选择“+ 创建”。
在“创建访问策略”页面上,转到“权限”选项卡。在“机密权限”下,选择“列出”和“获取”。 然后选择“下一步”转到主体选项卡。
在“主体”选项卡上,输入系统分配的托管标识的对象(主体)ID 或用户分配的托管标识的名称。 然后选择“查看 + 创建”。 由于自动选择了 Azure Front Door,因此会跳过“应用程序”选项卡。
查看访问策略设置,然后选择“创建”以完成访问策略。
验证访问权限
转到在其中启用了托管标识的 Azure Front Door 配置文件,并在“安全”下选择“机密”。
确认“托管标识”显示在 Front Door 中使用的证书的“访问角色”列下。 如果首次设置托管标识,请将证书添加到 Front Door 以查看此列。
