Menggunakan identitas terkelola untuk mengakses sertifikat Azure Key Vault
Identitas terkelola yang disediakan oleh MICROSOFT Entra ID memungkinkan instans Azure Front Door Anda mengakses sumber daya lain yang dilindungi Microsoft Entra dengan aman, seperti Azure Key Vault, tanpa perlu mengelola kredensial. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan identitas terkelola untuk sumber daya Azure?.
Catatan
Dukungan identitas terkelola di Azure Front Door terbatas pada mengakses Azure Key Vault. Ini tidak dapat digunakan untuk mengautentikasi dari Front Door ke asal seperti Blob Storage atau Web Apps.
Setelah Anda mengaktifkan identitas terkelola untuk Azure Front Door dan memberikan izin yang diperlukan ke Azure Key Vault Anda, Front Door akan menggunakan identitas terkelola untuk mengakses sertifikat. Tanpa izin ini, autorotasi sertifikat kustom dan penambahan sertifikat baru gagal. Jika identitas terkelola dinonaktifkan, Azure Front Door akan kembali menggunakan Aplikasi Microsoft Entra asli yang dikonfigurasi, yang tidak direkomendasikan dan akan ditolak di masa mendatang.
Azure Front Door mendukung dua jenis identitas terkelola:
- Identitas yang ditetapkan sistem: Identitas ini terkait dengan layanan Anda dan dihapus jika layanan dihapus. Setiap layanan hanya dapat memiliki satu identitas yang ditetapkan sistem.
- Identitas yang ditetapkan pengguna: Ini adalah sumber daya Azure mandiri yang dapat ditetapkan ke layanan Anda. Setiap layanan dapat memiliki beberapa identitas yang ditetapkan pengguna.
Identitas terkelola khusus untuk penyewa Microsoft Entra tempat langganan Azure Anda dihosting. Jika langganan dipindahkan ke direktori lain, Anda perlu membuat ulang dan mengonfigurasi ulang identitas.
Anda dapat mengonfigurasi akses Azure Key Vault menggunakan kontrol akses berbasis peran (RBAC) atau kebijakan akses.
Prasyarat
Sebelum menyiapkan identitas terkelola untuk Azure Front Door, pastikan Anda memiliki profil Azure Front Door Standard atau Premium. Untuk membuat profil baru, lihat membuat Azure Front Door.
Aktifkan identitas terkelola
Navigasikan ke profil Azure Front Door Yang sudah ada. Pilih Identitas di bawah Keamanan di menu sebelah kiri.
Pilih Sistem yang ditetapkan atau Identitas terkelola yang ditetapkan pengguna.
Sistem yang ditetapkan - Identitas terkelola yang terkait dengan siklus hidup profil Azure Front Door, digunakan untuk mengakses Azure Key Vault.
Pengguna ditetapkan - Sumber daya identitas terkelola mandiri dengan siklus hidupnya sendiri, digunakan untuk mengautentikasi ke Azure Key Vault.
Sistem yang ditetapkan
Alihkan Status ke Aktif dan pilih Simpan.
Konfirmasikan pembuatan identitas terkelola sistem untuk profil Front Door Anda dengan memilih Ya saat diminta.
Setelah dibuat dan didaftarkan dengan ID Microsoft Entra, gunakan ID Objek (utama) untuk memberikan akses Azure Front Door ke Azure Key Vault Anda.
Pengguna yang ditetapkan
Untuk menggunakan identitas terkelola yang ditetapkan pengguna, Anda harus memiliki identitas terkelola yang sudah dibuat. Untuk instruksi tentang membuat identitas baru, lihat membuat identitas terkelola yang ditetapkan pengguna.
Di tab Pengguna yang ditetapkan, pilih + Tambahkan untuk menambahkan identitas terkelola yang ditetapkan pengguna.
Cari dan pilih identitas terkelola yang ditetapkan pengguna. Lalu pilih Tambahkan untuk melampirkannya ke profil Azure Front Door.
Nama identitas terkelola yang ditetapkan pengguna yang dipilih muncul di profil Azure Front Door.
Mengonfigurasi akses Key Vault
Anda dapat mengonfigurasi akses Azure Key Vault menggunakan salah satu metode berikut:
- Kontrol akses berbasis peran (RBAC) - Menyediakan kontrol akses terperinci menggunakan Azure Resource Manager.
- Kebijakan akses - Menggunakan kontrol akses Azure Key Vault asli.
Untuk informasi selengkapnya, lihat Kontrol akses berbasis peran Azure (Azure RBAC) vs. kebijakan akses.
Kontrol akses berbasis peran (RBAC)
Navigasikan ke Azure Key Vault Anda. Pilih Kontrol akses (IAM) dari menu Pengaturan , lalu pilih + Tambahkan dan pilih Tambahkan penetapan peran.
Pada halaman Tambahkan penetapan peran, cari Pengguna Rahasia Key Vault dan pilih dari hasil pencarian.
Buka tab Anggota, pilih Identitas terkelola, lalu pilih + Pilih anggota.
Pilih identitas terkelola yang ditetapkan sistem atau ditetapkan pengguna yang terkait dengan Azure Front Door Anda, lalu pilih Pilih.
Pilih Tinjau + tetapkan untuk menyelesaikan penetapan peran.
Kebijakan akses
Navigasikan ke Azure Key Vault Anda. Di bawah Pengaturan, pilih Kebijakan akses lalu pilih + Buat.
Pada halaman Buat kebijakan akses, buka tab Izin . Di bawah Izin rahasia, pilih Daftar dan Dapatkan. Lalu pilih Berikutnya untuk melanjutkan ke tab utama.
Pada tab Utama , masukkan ID objek (utama) untuk identitas terkelola yang ditetapkan sistem atau nama untuk identitas terkelola yang ditetapkan pengguna. Pilih Tinjau + buat. Tab Aplikasi dilewati karena Azure Front Door dipilih secara otomatis.
Tinjau pengaturan kebijakan akses dan pilih Buat untuk menyelesaikan kebijakan akses.
Memverifikasi akses
Buka profil Azure Front Door tempat Anda mengaktifkan identitas terkelola dan pilih Rahasia di bawah Keamanan.
Konfirmasikan bahwa Identitas terkelola muncul di bawah kolom Peran akses untuk sertifikat yang digunakan di Front Door. Jika menyiapkan identitas terkelola untuk pertama kalinya, tambahkan sertifikat ke Front Door untuk melihat kolom ini.
Langkah berikutnya
- Pelajari selengkapnya tentang Enkripsi TLS end-to-end.
- Pelajari cara mengonfigurasi HTTPS pada domain kustom Azure Front Door.