Bagikan melalui


Menggunakan identitas terkelola untuk mengakses sertifikat Azure Key Vault

Identitas terkelola yang disediakan oleh MICROSOFT Entra ID memungkinkan instans Azure Front Door Anda mengakses sumber daya lain yang dilindungi Microsoft Entra dengan aman, seperti Azure Key Vault, tanpa perlu mengelola kredensial. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan identitas terkelola untuk sumber daya Azure?.

Catatan

Dukungan identitas terkelola di Azure Front Door terbatas pada mengakses Azure Key Vault. Ini tidak dapat digunakan untuk mengautentikasi dari Front Door ke asal seperti Blob Storage atau Web Apps.

Setelah Anda mengaktifkan identitas terkelola untuk Azure Front Door dan memberikan izin yang diperlukan ke Azure Key Vault Anda, Front Door akan menggunakan identitas terkelola untuk mengakses sertifikat. Tanpa izin ini, autorotasi sertifikat kustom dan penambahan sertifikat baru gagal. Jika identitas terkelola dinonaktifkan, Azure Front Door akan kembali menggunakan Aplikasi Microsoft Entra asli yang dikonfigurasi, yang tidak direkomendasikan dan akan ditolak di masa mendatang.

Azure Front Door mendukung dua jenis identitas terkelola:

  • Identitas yang ditetapkan sistem: Identitas ini terkait dengan layanan Anda dan dihapus jika layanan dihapus. Setiap layanan hanya dapat memiliki satu identitas yang ditetapkan sistem.
  • Identitas yang ditetapkan pengguna: Ini adalah sumber daya Azure mandiri yang dapat ditetapkan ke layanan Anda. Setiap layanan dapat memiliki beberapa identitas yang ditetapkan pengguna.

Identitas terkelola khusus untuk penyewa Microsoft Entra tempat langganan Azure Anda dihosting. Jika langganan dipindahkan ke direktori lain, Anda perlu membuat ulang dan mengonfigurasi ulang identitas.

Anda dapat mengonfigurasi akses Azure Key Vault menggunakan kontrol akses berbasis peran (RBAC) atau kebijakan akses.

Prasyarat

Sebelum menyiapkan identitas terkelola untuk Azure Front Door, pastikan Anda memiliki profil Azure Front Door Standard atau Premium. Untuk membuat profil baru, lihat membuat Azure Front Door.

Aktifkan identitas terkelola

  1. Navigasikan ke profil Azure Front Door Yang sudah ada. Pilih Identitas di bawah Keamanan di menu sebelah kiri.

  2. Pilih Sistem yang ditetapkan atau Identitas terkelola yang ditetapkan pengguna.

    Sistem yang ditetapkan

    1. Alihkan Status ke Aktif dan pilih Simpan.

      Cuplikan layar halaman konfigurasi identitas terkelola yang ditetapkan sistem.

    2. Konfirmasikan pembuatan identitas terkelola sistem untuk profil Front Door Anda dengan memilih Ya saat diminta.

    3. Setelah dibuat dan didaftarkan dengan ID Microsoft Entra, gunakan ID Objek (utama) untuk memberikan akses Azure Front Door ke Azure Key Vault Anda.

      Cuplikan layar sistem yang ditetapkan identitas terkelola yang terdaftar di Microsoft Entra ID.

    Pengguna yang ditetapkan

    Untuk menggunakan identitas terkelola yang ditetapkan pengguna, Anda harus memiliki identitas terkelola yang sudah dibuat. Untuk instruksi tentang membuat identitas baru, lihat membuat identitas terkelola yang ditetapkan pengguna.

    1. Di tab Pengguna yang ditetapkan, pilih + Tambahkan untuk menambahkan identitas terkelola yang ditetapkan pengguna.

    2. Cari dan pilih identitas terkelola yang ditetapkan pengguna. Lalu pilih Tambahkan untuk melampirkannya ke profil Azure Front Door.

    3. Nama identitas terkelola yang ditetapkan pengguna yang dipilih muncul di profil Azure Front Door.

      Cuplikan layar identitas terkelola yang ditetapkan pengguna ditambahkan ke profil Front Door.


Mengonfigurasi akses Key Vault

Anda dapat mengonfigurasi akses Azure Key Vault menggunakan salah satu metode berikut:

Untuk informasi selengkapnya, lihat Kontrol akses berbasis peran Azure (Azure RBAC) vs. kebijakan akses.

Kontrol akses berbasis peran (RBAC)

  1. Navigasikan ke Azure Key Vault Anda. Pilih Kontrol akses (IAM) dari menu Pengaturan , lalu pilih + Tambahkan dan pilih Tambahkan penetapan peran.

  2. Pada halaman Tambahkan penetapan peran, cari Pengguna Rahasia Key Vault dan pilih dari hasil pencarian.

    Cuplikan layar halaman tambahkan penetapan peran untuk Key Vault.

  3. Buka tab Anggota, pilih Identitas terkelola, lalu pilih + Pilih anggota.

  4. Pilih identitas terkelola yang ditetapkan sistem atau ditetapkan pengguna yang terkait dengan Azure Front Door Anda, lalu pilih Pilih.

  5. Pilih Tinjau + tetapkan untuk menyelesaikan penetapan peran.

Kebijakan akses

  1. Navigasikan ke Azure Key Vault Anda. Di bawah Pengaturan, pilih Kebijakan akses lalu pilih + Buat.

  2. Pada halaman Buat kebijakan akses, buka tab Izin . Di bawah Izin rahasia, pilih Daftar dan Dapatkan. Lalu pilih Berikutnya untuk melanjutkan ke tab utama.

  3. Pada tab Utama , masukkan ID objek (utama) untuk identitas terkelola yang ditetapkan sistem atau nama untuk identitas terkelola yang ditetapkan pengguna. Pilih Tinjau + buat. Tab Aplikasi dilewati karena Azure Front Door dipilih secara otomatis.

    Cuplikan layar tab utama untuk kebijakan akses Key Vault.

  4. Tinjau pengaturan kebijakan akses dan pilih Buat untuk menyelesaikan kebijakan akses.

Memverifikasi akses

  1. Buka profil Azure Front Door tempat Anda mengaktifkan identitas terkelola dan pilih Rahasia di bawah Keamanan.

  2. Konfirmasikan bahwa Identitas terkelola muncul di bawah kolom Peran akses untuk sertifikat yang digunakan di Front Door. Jika menyiapkan identitas terkelola untuk pertama kalinya, tambahkan sertifikat ke Front Door untuk melihat kolom ini.

    Cuplikan layar Azure Front Door menggunakan identitas terkelola untuk mengakses sertifikat di Key Vault.

Langkah berikutnya