مشاركة عبر

استكشاف مشكلات نهج الوصول إلى Azure Key Vault وإصلاحها

  • مقالة

الأسئلة الشائعة

لا يمكنني سرد البيانات السرية/المفاتيح/الشهادة أو الحصول عليها. أرى خطأ "حدث خطأ ما"

إذا كنت تواجه مشكلة في إدخال/الحصول على/إنشاء أو الوصول إلى البيانات السرية، فتأكد من أن لديك نهج وصول محدد للقيام بهذه العملية: نهج الوصول إلى Key Vault

كيف يمكنني تحديد كيفية ومتى يتم الوصول إلى Key Vault؟

بعد إنشاء واحد أو أكثر من مخازن المفاتيح، ستحتاج على الأرجح إلى مراقبة كيفية ومتى يتم الوصول إلى مخازن المفاتيح ومن الشخص المسموح له بالقيام بذلك. يمكنك إجراء المراقبة عن طريق تمكين تسجيل الدخول إلى Azure Key Vault، للحصول على دليل خطوة بخطوة لتمكين تسجيل الدخول، قراءة المزيد.

كيف يمكنني مراقبة توفر المخزن أو فترات الوصول للخدمة أو مقاييس الأداء الأخرى key vault؟

عندما تبدأ في توسيع نطاق خدمتك، سيرتفع عدد الطلبات المرسلة إلى Key Vault. هذا الطلب لديه إمكانية لزيادة زمن انتقال طلباتك وفي الحالات القصوى، يتسبب في تقييد طلباتك مما سيؤدي إلى تدهور أداء الخدمة الخاصة بك. يمكنك مراقبة مقاييس أداء key vault والحصول على تنبيه حول حدود معينة، للحصول على دليل خطوة بخطوة لتكوين المراقبة، قراءة المزيد.

لا يمكنني تعديل نهج الوصول، كيف يمكن تمكينه؟

يحتاج المستخدم إلى أذونات Microsoft Entra كافية لتعديل نهج الوصول. في هذه الحالة، سيحتاج المستخدم إلى دور مساهم أعلى.

أرى خطأ "نهج غير معروف". ماذا يعني ذلك؟

هناك سببان وراء ظهور نهج وصول في القسم غير معروف:

  • كان لدى المستخدم السابق حق الوصول ولكن هذا المستخدم لم يعد موجودا.
  • تمت إضافة نهج الوصول من خلال PowerShell، باستخدام معرف التطبيق بدلا من كيان الخدمة.

كيف يمكنني تعيين عنصر التحكم بالوصول لكل كائن key vault؟

يجب تجنب تعيين الأدوار على المفاتيح والأسرار والشهادات الفردية. استثناءات الإرشادات العامة:

السيناريوهات التي يجب فيها مشاركة البيانات السرية الفردية بين تطبيقات متعددة، على سبيل المثال، يحتاج أحد التطبيقات إلى الوصول إلى البيانات من التطبيق الآخر

كيف يمكنني توفير مصادقة key vault باستخدام سياسة التحكم في الوصول؟

تتمثل الطريقة الأبسط لمصادقة تطبيق سحابة إلى Key Vault في الهوية المدارة؛ راجع المصادقة على Azure Key Vault للحصول على تفاصيل. إذا كنت تقوم بإنشاء تطبيق محلي، أو تقوم بالتطوير المحلي، أو غير قادر على استخدام هوية مدارة، يمكنك بدلا من ذلك تسجيل كيان خدمة يدويا وتوفير الوصول إلى مخزن المفاتيح الخاص بك باستخدام نهج التحكم في الوصول. راجع تعيين سياسة التحكم في الوصول.

كيف يمكنني منح مجموعة AD حق الوصول إلى key vault؟

منح أذونات مجموعة AD إلى key vault الخاص بك باستخدام الأمر Azure CLI az keyvault set-policy أو Set-AzKeyVaultAccessPolicy cmdlet Azure PowerShell. راجع تعيين سياسة وصول - CLI وتعيين سياسة وصول - PowerShell.

يحتاج التطبيق أيضاً إلى دور واحد على الأقل لإدارة الهوية والوصول (IAM) معين إلى key vault. وإلا فلن يتمكن من تسجيل الدخول وسيفشل مع حقوق غير كافية للوصول إلى الاشتراك. قد تتطلب مجموعات Microsoft Entra ذات الهويات المدارة ساعات عديدة لتحديث الرموز المميزة وتصبح فعالة. راجع تقييد استخدام الهويات المدارة للتخويل

كيف يمكنني إعادة نشر Key Vault" مع قالب ARM دون حذف سياسة الوصول الحالية؟

حاليا، تحذف إعادة نشر Key Vault أي نهج وصول في Key Vault وتستبدلها بنهج الوصول في قالب ARM. لا يوجد خيار تزايدي لنهج الوصول إلى Key Vault. للحفاظ على سياسات الوصول في Key Vault، تحتاج إلى قراءة سياسات الوصول الموجودة في Key Vault ونشر قالب ARM مع تلك السياسات لتجنب أي انقطاع في الوصول.

هناك خيار آخر يمكن أن يساعد في هذا السيناريو وهو استخدام Azure RBAC والأدوار كبديل لسياسات الوصول. باستخدام Azure RBAC، يمكنك إعادة نشر مخزن المفاتيح دون تحديد النهج مرة أخرى. يمكنك قراءة المزيد من هذا الحل هنا.

ما هي أفضل الممارسات التي يجب أن أطبقها عندما يتم التحكم في key vault؟

اتبع أفضل الممارسات الموثقة هنا

الخطوات التالية

التعرف على كيفية استكشاف أخطاء مصادقة key vault وإصلاحها: دليل استكشاف أخطاء مخزن المفاتيح وإصلاحها.