Bagikan melalui

Menggunakan identitas terkelola untuk Azure Content Delivery Network untuk mengakses sertifikat Azure Key Vault

  • Artikel

Penting

Azure CDN Standard dari Microsoft (klasik) akan dihentikan pada 30 September 2027. Untuk menghindari gangguan layanan apa pun, penting untuk memigrasikan profil Azure CDN Standard dari Microsoft (klasik) ke tingkat Azure Front Door Standard atau Premium paling lambat 30 September 2027. Untuk informasi selengkapnya, lihat Penghentian Azure CDN Standard dari Microsoft (klasik).

Azure CDN dari Edgio dihentikan pada 15 Januari 2025. Untuk informasi selengkapnya, lihat Tanya Jawab Umum penghentian Azure CDN dari Edgio.

Identitas terkelola yang dihasilkan oleh MICROSOFT Entra ID memungkinkan instans Azure Content Delivery Network Anda mengakses sumber daya yang dilindungi Microsoft Entra lainnya dengan mudah dan aman, seperti Azure Key Vault. Azure mengelola sumber daya identitas, sehingga Anda tidak perlu membuat atau memutar rahasia apa pun. Untuk informasi selengkapnya tentang identitas terkelola, lihat Apa yang dimaksud dengan identitas terkelola untuk sumber daya Azure?.

Setelah Anda mengaktifkan identitas terkelola untuk Azure Front Door dan memberikan izin yang tepat untuk mengakses brankas kunci Azure Anda, Azure Front Door hanya menggunakan identitas terkelola untuk mengakses sertifikat. Jika Anda tidak menambahkan izin identitas terkelola ke Key Vault, autorotasi sertifikat kustom dan penambahan sertifikat baru gagal tanpa izin ke Key Vault. Jika Anda menonaktifkan identitas terkelola, Azure Front Door akan kembali menggunakan Aplikasi Microsoft Entra asli yang dikonfigurasi. Solusi ini tidak direkomendasikan dan akan dihentikan di masa mendatang.

Anda dapat memberikan dua jenis identitas ke profil Azure Front Door:

  • Identitas yang ditetapkan sistem terkait dengan layanan Anda dan dihapus jika layanan Anda dihapus. Layanan ini hanya dapat memiliki satu identitas yang ditetapkan sistem.

  • Identitas yang ditetapkan pengguna adalah sumber daya Azure mandiri yang dapat ditetapkan ke layanan Anda. Layanan ini dapat memiliki beberapa identitas yang ditetapkan pengguna.

Identitas terkelola khusus untuk penyewa Microsoft Entra tempat langganan Azure Anda dihosting. Langganan tidak diperbarui jika langganan dipindahkan ke direktori lain. Jika langganan dipindahkan, Anda perlu membuat ulang dan mengonfigurasi ulang identitas.

Prasyarat

Sebelum dapat menyiapkan identitas terkelola untuk Azure Front Door, Anda harus membuat profil Azure Front Door Standard atau Premium. Untuk membuat profil Azure Front Door baru, lihat Membuat profil Azure Content Delivery Network.

Aktifkan identitas terkelola

  1. Buka profil Azure Content Delivery Network yang sudah ada. Pilih Identitas dari bawah Pengaturan di panel menu sisi kiri.

  2. Pilih Sistem yang ditetapkan atau Identitas terkelola yang ditetapkan Pengguna.

    • Sistem ditetapkan - identitas terkelola dibuat untuk siklus hidup profil Azure Content Delivery Network dan digunakan untuk mengakses Azure Key Vault.

    • Pengguna yang ditetapkan - sumber daya identitas terkelola mandiri digunakan untuk mengautentikasi ke Azure Key Vault dan memiliki siklus hidupnya sendiri.

    Sistem yang ditetapkan

    1. Alihkan Status ke Aktif lalu pilih Simpan.

      Cuplikan layar halaman konfigurasi identitas terkelola yang ditetapkan sistem.

    2. Anda diminta dengan pesan untuk mengonfirmasi bahwa Anda ingin membuat identitas terkelola sistem untuk profil Azure Front Door Anda. Pilih Ya untuk mengonfirmasi.

    3. Setelah identitas terkelola yang ditetapkan sistem dibuat dan didaftarkan dengan ID Microsoft Entra, Anda dapat menggunakan ID Objek (utama) untuk memberikan akses Azure Content Delivery Network ke brankas kunci Azure Anda.

    Pengguna yang ditetapkan

    Anda harus sudah membuat identitas terkelola pengguna. Untuk membuat identitas baru, lihat Membuat identitas terkelola yang ditetapkan pengguna.

    1. Di tab Pengguna yang ditetapkan, pilih + Tambahkan untuk menambahkan identitas terkelola yang ditetapkan pengguna.

      Cuplikan layar halaman konfigurasi identitas terkelola yang ditetapkan pengguna.

    2. Cari dan pilih identitas terkelola yang ditetapkan pengguna. Lalu pilih Tambahkan untuk menambahkan identitas terkelola pengguna ke profil Azure Content Delivery Network.

    3. Anda melihat nama identitas terkelola yang ditetapkan pengguna yang Anda pilih ditampilkan di profil Azure Content Delivery Network.

      Cuplikan layar tambahkan identitas terkelola yang ditetapkan pengguna yang ditambahkan ke profil Azure Content Delivery Network.

Mengonfigurasi kebijakan akses Key Vault

  1. Navigasikan ke brankas kunci Azure Anda. Pilih Kebijakan akses dari bawah Pengaturan lalu pilih + Buat.

  2. Pada tab Izin dari halaman Buat kebijakan akses, pilih Daftar dan Dapatkan untuk Izin rahasia. Lalu pilih Berikutnya untuk mengonfigurasi tab utama.

    Cuplikan layar tab izin untuk kebijakan akses Key Vault.

  3. Pada tab Utama , tempelkan ID objek (utama) jika Anda menggunakan identitas terkelola sistem atau masukkan nama jika Anda menggunakan identitas terkelola yang ditetapkan pengguna. Lalu pilih tab Tinjau + buat . Tab Aplikasi dilewati karena Azure Front Door sudah dipilih untuk Anda.

    Cuplikan layar tab utama untuk kebijakan akses Key Vault.

  4. Tinjau pengaturan kebijakan akses lalu pilih Buat untuk menyiapkan kebijakan akses.

Langkah berikutnya