Aracılığıyla paylaş

Azure Key Vault sertifikalarına erişmek için yönetilen kimlikleri kullanma

  • Makale

Microsoft Entra Id tarafından sağlanan yönetilen kimlikler, Kimlik bilgilerini yönetmeye gerek kalmadan Azure Front Door örneğinizin Azure Key Vault gibi diğer Microsoft Entra korumalı kaynaklara güvenli bir şekilde erişmesini sağlar. Daha fazla bilgi için bkz. Azure kaynakları için yönetilen kimlikler nedir?.

Not

Azure Front Door'da yönetilen kimlik desteği, Azure Key Vault'a erişimle sınırlıdır. Front Door'dan Blob Depolama veya Web Uygulamaları gibi kaynaklara doğru kimlik doğrulaması yapmak için kullanılamaz.

Azure Front Door için yönetilen kimliği etkinleştirdikten ve Azure Key Vault'unuza gerekli izinleri verdikten sonra, Front Door sertifikalara erişmek için yönetilen kimliği kullanır. Bu izinler olmadan, özel sertifika otomatik döndürme ve yeni sertifika ekleme başarısız olur. Yönetilen kimlik devre dışı bırakılırsa Azure Front Door, önerilen ve gelecekte kullanım dışı bırakılacak olan özgün yapılandırılmış Microsoft Entra Uygulamasını kullanmaya geri döner.

Azure Front Door iki tür yönetilen kimliği destekler:

  • Sistem tarafından atanan kimlik: Bu kimlik hizmetinize bağlıdır ve hizmet silinirse silinir. Her hizmet yalnızca bir sistem tarafından atanan kimliğe sahip olabilir.
  • Kullanıcı tarafından atanan kimlik: Bu, hizmetinize atanabilen tek başına bir Azure kaynağıdır. Her hizmetin kullanıcı tarafından atanan birden çok kimliği olabilir.

Yönetilen kimlikler, Azure aboneliğinizin barındırıldığı Microsoft Entra kiracısına özgüdür. Abonelik farklı bir dizine taşınırsa, kimliği yeniden oluşturmanız ve yeniden yapılandırmanız gerekir.

Rol tabanlı erişim denetimi (RBAC) veya erişim ilkesi kullanarak Azure Key Vault erişimini yapılandırabilirsiniz.

Önkoşullar

Azure Front Door için yönetilen kimliği ayarlamadan önce Azure Front Door Standard veya Premium profiline sahip olduğunuzdan emin olun. Yeni profil oluşturmak için bkz . Azure Front Door oluşturma.

Yönetilen kimliği etkinleştirme

  1. Mevcut Azure Front Door profilinize gidin. Soldaki menüden Güvenlik'in altında Kimlik'i seçin.

  2. Sistem tarafından atanan veya Kullanıcı tarafından atanan yönetilen kimliği seçin.

    • Sistem tarafından atanan - Azure Key Vault'a erişmek için kullanılan, Azure Front Door profil yaşam döngüsüne bağlı yönetilen kimlik.

    • Kullanıcı tarafından atanan - Azure Key Vault'ta kimlik doğrulaması yapmak için kullanılan kendi yaşam döngüsüne sahip tek başına yönetilen kimlik kaynağı.

    Sistem tarafından atanan

    1. Durum'a geçin ve Kaydet'i seçin.

      Sistem tarafından atanan yönetilen kimlik yapılandırma sayfasının ekran görüntüsü.

    2. İstendiğinde Evet'i seçerek Front Door profiliniz için sistem tarafından yönetilen kimlik oluşturulduğundan emin olun.

    3. Microsoft Entra Kimliği'ni oluşturup kaydettikten sonra, Azure Key Vault'unuza Azure Front Door erişimi vermek için Nesne (sorumlu) kimliğini kullanın.

      Microsoft Entra Id ile kaydedilen sistem tarafından atanan yönetilen kimliğin ekran görüntüsü.

    Kullanıcı tarafından atanan

    Kullanıcı tarafından atanan yönetilen kimliği kullanmak için önceden oluşturulmuş bir kimliğiniz olmalıdır. Yeni kimlik oluşturma yönergeleri için bkz . Kullanıcı tarafından atanan yönetilen kimlik oluşturma.

    1. Kullanıcı tarafından atanan yönetilen kimlik eklemek için Kullanıcı tarafından atanan sekmesinde + Ekle'yi seçin.

    2. Kullanıcı tarafından atanan yönetilen kimliği arayın ve seçin. Ardından Ekle'yi seçerek Azure Front Door profiline ekleyin.

    3. Seçilen kullanıcı tarafından atanan yönetilen kimliğin adı Azure Front Door profilinde görünür.

      Front Door profiline eklenen kullanıcı tarafından atanan yönetilen kimliğin ekran görüntüsü.

Key Vault erişimini yapılandırma

Aşağıdaki yöntemlerden birini kullanarak Azure Key Vault erişimini yapılandırabilirsiniz:

Daha fazla bilgi için bkz . Azure rol tabanlı erişim denetimi (Azure RBAC) ve erişim ilkesi.

Rol tabanlı erişim denetimi (RBAC)

  1. Azure Key Vault'unuza gidin. Ayarlar menüsünden Erişim denetimi (IAM) öğesini ve ardından + Ekle'yi ve ardından Rol ataması ekle'yi seçin.

  2. Rol ataması ekle sayfasında Key Vault Gizli Kullanıcı'yı arayın ve arama sonuçlarından seçin.

    Key Vault için rol ataması ekleme sayfasının ekran görüntüsü.

  3. Üyeler sekmesine gidin, Yönetilen kimlik'i ve ardından + Üye seç'i seçin.

  4. Azure Front Door'unuzla ilişkili sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği seçin ve ardından Seç'i seçin.

  5. Rol atamasını sonlandırmak için Gözden geçir ve ata'yı seçin.

Erişim ilkesi

  1. Azure Key Vault'unuza gidin. Ayarlar'ın altında Erişim ilkeleri'ni ve ardından + Oluştur'u seçin.

  2. Erişim ilkesi oluştur sayfasında İzinler sekmesine gidin. Gizli dizi izinleri'nin altında Listele ve Al'ı seçin. Ardından, asıl sekmeye geçmek için İleri'yi seçin.

  3. Sorumlu sekmesinde, sistem tarafından atanan yönetilen kimliğin nesne (sorumlu) kimliğini veya kullanıcı tarafından atanan yönetilen kimliğin adını girin. Ardından Gözden geçir ve oluştur'u seçin. Azure Front Door otomatik olarak seçildikçe Uygulama sekmesi atlanır.

    Key Vault erişim ilkesinin asıl sekmesinin ekran görüntüsü.

  4. Erişim ilkesi ayarlarını gözden geçirin ve oluştur'u seçerek erişim ilkesini sonlandırın.

Erişimi doğrulama

  1. Yönetilen kimliği etkinleştirdiğiniz Azure Front Door profiline gidin ve Güvenlik altında Gizli Diziler'i seçin.

  2. Front Door'da kullanılan sertifikanın Erişim rolü sütununun altında Yönetilen kimliğin göründüğünü onaylayın. Yönetilen kimliği ilk kez ayarlanıyorsa, bu sütunu görmek için Front Door'a bir sertifika ekleyin.

    Key Vault'taki sertifikaya erişmek için yönetilen kimlik kullanan Azure Front Door'un ekran görüntüsü.

Sonraki adımlar