تعيين نهج الوصول إلى Key Vault (قديم)

هام

عند استخدام نموذج إذن نهج الوصول، يمكن للمستخدم الذي لديه Contributorأو Key Vault Contributorأو أي دور آخر يتضمن Microsoft.KeyVault/vaults/write أذونات لمستوى إدارة مخزن المفاتيح منح نفسه حق الوصول إلى مستوى البيانات عن طريق تعيين نهج الوصول إلى Key Vault. لمنع الوصول غير المصرح به وإدارة خزائن المفاتيح والمفاتيح والأسرار والشهادات، من الضروري الحد من وصول دور المساهم إلى خزائن المفاتيح ضمن نموذج إذن نهج الوصول. للتخفيف من هذه المخاطر، نوصي باستخدام نموذج إذن التحكم في الوصول استنادا إلى الدور (RBAC)، والذي يقيد إدارة الأذونات إلى أدوار "المالك" و"مسؤول وصول المستخدم"، ما يسمح بفصل واضح بين عمليات الأمان والواجبات الإدارية. راجع دليل التحكم في الوصول استنادا إلى الدور في Key Vault وما هو Azure RBAC؟ لمزيد من المعلومات.

يحدد نهج وصول Key Vault ما إذا كان يمكن لأمان أساسي أو أي مستخدم أو تطبيق أو مجموعة مستخدمين، إجراء عمليات مختلفة على أسرارKey Vault ومفاتيحهوشهاداته. يمكنك تعيين نُهج الوصول باستخدام مدخل Microsoft Azure أو CLI Azure أوAzure PowerShell.

يدعم مخزن المفتاح ما يصل إلى 1024 من إدخالات نهج الوصول، حيث يمنح كل إدخال مجموعة مميزة من الأذونات لمدير أمان معين. بسبب هذا القيد، نوصي بتعيين نُهج الوصول لمجموعات من المستخدمين، حيثما أمكن، بدلاً من المستخدمين الفرديين. يؤدي استخدام المجموعات إلى تسهيل إدارة الأذونات لعدة أشخاص في مؤسستك. لمزيد من المعلومات، راجع إدارة الوصول إلى التطبيق والموارد باستخدام مجموعات Microsoft Entra.

مدخل Microsoft Azure

تعيين نهج الوصول (CLI)

1. في مدخل Microsoft Azure، انتقل إلى مورد "Key Vault".

2. حدد Access policies، ثم حدد Create:

   

3. حدد الأذونات التي تريدها ضمن أذونات المفتاح والأذونات السرية وأذونات الشهادة.

   

4. ضمن جزء التحديد الأساسي، أدخل اسم المستخدم أو التطبيق أو كيان الخدمة في حقل البحث وحدد النتيجة المناسبة.

   

   إذا كنت تستخدم هوية مدارة للتطبيق، فابحث باسم التطبيق نفسه وحدده. (لمزيد من المعلومات حول أساسيات الأمان، راجع مصادقة Key Vault.

5. راجع تغييرات نهج الوصول وحدد Create لحفظ نهج الوصول.

   

6. مرة أخرى في صفحة نهج الوصول، تحقق من إدراج نهج الوصول الخاص بك.

   

Azure CLI

لمزيد من المعلومات حول إنشاء مجموعات في معرف Microsoft Entra باستخدام Azure CLI، راجع az ad group create وaz ad group member add.

تكوين واجهة مستوى الاستدعاء في Azure وسجل الدخول

1. لتشغيل أوامر واجهة مستوى الاستدعاء Azure محليًا، ثبت واجهة مستوى الاستدعاء Azure.

   لتشغيل الأوامر مباشرة عبر السحابة استخدم Azure Cloud Shell.

2. واجهة مستوى الاستدعاء المحلية فقط: تسجيل الدخول إلى Azure باستخدام az login:

   az login
   

   الأمرaz login بفتح إطار مستعرض لجمع بيانات الاعتماد إذا لزم الأمر.

الحصول على معرف عنصر

تحديد معرف العنصر للتطبيق أو المجموعة أو المستخدم الذي تريد تعيين نهج الوصول إليه:

• التطبيقات ومبادئ الخدمة الأخرى: استخدم الأمر az ad sp list لاسترداد أساسيات الخدمة الخاصة بك. فحص إخراج الأمر لتحديد معرف العنصر من أساس الأمان الذي تريد تعيين نهج الوصول إليه.

  az ad sp list --show-mine
  

• المجموعات: استخدم أمر قائمة az الإعلانية، وتصفية النتائج باستخدام --display-name المعلمة:

  az ad group list --display-name <search-string>
  

• المستخدمين: استخدم az ad user show"، ما يؤدي إلى تجاوز عنوان بريدك الإلكتروني إلى --id المعلمة:

  az ad user show --id <email-address-of-user>
  

تعيين نهج الوصول

استخدم أمر az keyvault تعيين النهج لتعيين الأذونات المطلوبة:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

استبدال <object-id> بمعرف االعنصر الخاص بك أساس الأمان.

تحتاج فقط إلى تضمين --secret-permissionsو--key-permissionsو--certificate-permissions عند تعيين أذونات لهذه الأنواع المعينة. القيم المسموح بها لـ <secret-permissions> <key-permissions> <certificate-permissions> ويتم إعطاء في وثائق نهج مجموعة az keyvault.

Azure PowerShell

لمزيد من المعلومات حول إنشاء مجموعات في معرف Microsoft Entra باستخدام Azure PowerShell، راجع New-AzADGroup وAdd-AzADGroupMember.

تكوين PowerShell وتسجيل الدخول

1. لتشغيل الأوامر محليًا، ثبت Azure PowerShell إذا لم تكن قد قمت بذلك بالفعل.

   لتشغيل الأوامر مباشرة عبر السحابة استخدم Azure Cloud Shell.

2. PowerShell المحلي فقط:

   1. ثبت وحدة Microsoft Azure Active Directory PowerShell.

   2. تسجيل الدخول إلى Azure:

      Connect-AzAccount
      

الحصول على معرف عنصر

تحديد معرف العنصر للتطبيق أو المجموعة أو المستخدم الذي تريد تعيين نهج الوصول إليه:

• التطبيقات و مبادئ الخدمة الأخرى: استخدم Get-AzADServicePrincipal cmdlet مع -SearchString المعلمة لتصفية النتائج إلى اسم الأساسي الخدمة المطلوبة:

  Get-AzADServicePrincipal -SearchString <search-string>
  

• المجموعات: استخدام cmdlet Get-AzADGroup مع -SearchString المعلمة لتصفية النتائج إلى اسم المجموعة المطلوبة:

  Get-AzADGroup -SearchString <search-string>
  

  في الإخراج، يتم سرد معرف العنصر كـ Id.

• المستخدمين: استخدام Get-AzADUsercmdlet تمرير عنوان البريد الإلكتروني للمستخدم إلى -UserPrincipalName المعلمة.

   Get-AzAdUser -UserPrincipalName <email-address-of-user>
  

  في الإخراج، يتم سرد معرف العنصر كـ Id.

تعيين نهج الوصول

استخدم تعيين-AzKeyVaultAccessPolicycmdlet لتعيين نهج الوصول:

Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions    

تحتاج فقط إلى تضمين -PermissionsToSecretsو-PermissionsToKeysو-PermissionsToCertificates عند تعيين أذونات لهذه الأنواع المعينة. القيم المسموح بها لـ <secret-permissions> <key-permissions> <certificate-permissions> ويتم إعطاء في وثائق et-AzKeyVaultAccessPolicy -معلمات.

الخطوات التالية

• أمان Azure Key Vault
• دليل مطور مخزن Azure Key Vault