背景
以下の公開文章でAFD classicでAzure Key vaultの証明書を利用してhttpsを設定しようとすると、
うまくいきません。
https://learn.microsoft.com/ja-jp/azure/frontdoor/front-door-custom-domain-https?tabs=powershell
原因はまさにここだと自分も全然気づきませんでした。犯しやすいミスなので、ここでメモしておきます。
詳細
以下の公開文章に従い、
まず、AFDを登録済み。
New-AzADServicePrincipal -ApplicationId "ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037"
次、Key vault側のアクセスポリシーでMicrosoft.Azure.Frontdoorへ権限を付与済み。
最後、Key vault側のNetwork設定でAllow trusted Microsoft services to bypass this firewallをチェック入れます。
でも、依然、AFDからkeyvaultの証明書取得できないです。(inaccessbleになっています)
原因調査
もしかして作業者の私はkey vaultの証明書をみる権限はないから?
早速、自分にたいしてkey vualtの証明書を取得する権限を付与しました。
でも依然AFDからkeyvaultの証明書取得できないです。私も自身で直接keyvaultの中の証明書はみれないです。
発見
いろいろ考えた末に、もしかして、自分のClient PC のIpを許可していないのか!と閃きました。
早速network設定で時分のIPをwhitelistして、試したら成功です!
Keyvaultの中の証明書も見れるし、AFDからの取得もOKになりました。
感想
MSの公開文章はもしそこの箇所まで解釈ができたらいいですね。でもAzure全体はセキュリティーが厳しくなっている一方、また何か新しい制限がかけてくるかも。