Warning
K lepšímu zabezpečení použijte model řízení přístupu na základě rolí (RBAC) místo přístupových politik při správě služby Azure Key Vault. RBAC omezuje správu oprávnění jenom na role Vlastník a Správce uživatelských přístupů a zajišťuje jasné oddělení mezi úlohami zabezpečení a správy. Další informace najdete v tématu Co je Azure RBAC? a průvodce RBAC služby Key Vault.
S modelem oprávnění zásad přístupu můžou uživatelé s Contributorrolí , Key Vault Contributornebo libovolnou rolí, která zahrnuje Microsoft.KeyVault/vaults/write oprávnění, udělit přístup k rovině dat konfigurací zásad přístupu ke službě Key Vault. To může vést k neoprávněnému přístupu a správě trezorů klíčů, klíčů, tajných klíčů a certifikátů. Pokud chcete toto riziko snížit, omezte přístup role přispěvatele k trezorům klíčů při použití modelu zásad přístupu.
Zásada přístupu ke službě Key Vault určuje, jestli daný objekt zabezpečení, konkrétně uživatel, aplikace nebo skupina uživatelů, může provádět různé operace s tajnými klíči, klíči a certifikáty služby Key Vault. Zásady přístupu můžete přiřadit pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.
Trezor klíčů podporuje až 1 024 položek zásad přístupu, z nichž každá uděluje odlišnou sadu oprávnění ke konkrétnímu objektu zabezpečení. Kvůli tomuto omezení doporučujeme přiřazovat zásady přístupu skupinám uživatelů, pokud je to možné, a ne jednotlivým uživatelům. Používání skupin usnadňuje správu oprávnění pro více lidí ve vaší organizaci. Další informace najdete v tématu Správa přístupu k aplikacím a prostředkům pomocí skupin Microsoft Entra.
Přiřazení zásad přístupu
Na webu Azure Portal přejděte k prostředku služby Key Vault.
Vyberte Zásady přístupu a pak vyberte Vytvořit:
Vyberte požadovaná oprávnění v části Oprávnění ke klíči, Oprávnění k tajným klíčům a Oprávnění k certifikátu.
V podokně výběru objektu zabezpečení zadejte do vyhledávacího pole název uživatele, aplikace nebo instanční objekt a vyberte odpovídající výsledek.
Pokud pro aplikaci používáte spravovanou identitu, vyhledejte a vyberte název samotné aplikace. (Další informace o subjektech zabezpečení najdete v tématu Ověřování Key Vault.
Zkontrolujte změny zásad přístupu a výběrem možnosti Vytvořit uložte zásady přístupu.
Vraťte se na stránku Zásad přístupu a ověřte, že jsou uvedené zásady přístupu.
Další informace o vytváření skupin v Microsoft Entra ID pomocí Azure CLI najdete v tématu az ad group create a az ad group member add.
Pokud chcete příkazy Azure CLI spouštět místně, nainstalujte Azure CLI.
Pokud chcete spouštět příkazy přímo v cloudu, použijte Azure Cloud Shell.
Pouze místní rozhraní příkazového řádku: Přihlaste se k Azure pomocí az login:
az login
Příkaz az login otevře okno prohlížeče a v případě potřeby shromáždí přihlašovací údaje.
Získání ID objektu
Určete ID objektu aplikace, skupiny nebo uživatele, ke kterému chcete přiřadit zásadu přístupu:
Aplikace a další instanční objekty: Pomocí příkazu az ad sp list načtěte instanční objekty. Prozkoumejte výstup příkazu a určete ID objektu objektu zabezpečení, ke kterému chcete přiřadit zásadu přístupu.
az ad sp list --show-mine
Skupiny: Použijte příkaz az ad group list a vyfiltrujte výsledky pomocí parametru --display-name :
az ad group list --display-name <search-string>
Uživatelé: Použijte příkaz az ad user show a zadejte e-mailovou adresu uživatele v parametru --id.
az ad user show --id <email-address-of-user>
Přiřaďte zásady přístupu.
Pomocí příkazu az keyvault set-policy přiřaďte požadovaná oprávnění:
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>
Nahraďte <object-id> ID objektu vašeho bezpečnostního principála.
Potřebujete zahrnout pouze --secret-permissions, --key-permissions a --certificate-permissions při přiřazování oprávnění k těmto konkrétním typům. Povolené hodnoty pro <secret-permissions>a <key-permissions><certificate-permissions>jsou uvedeny v dokumentaci az keyvault set-policy.
Další informace o vytváření skupin v MICROSOFT Entra ID pomocí Azure PowerShellu najdete v tématu New-AzADGroup a Add-AzADGroupMember.
Pokud chcete příkazy spouštět místně, nainstalujte Azure PowerShell , pokud jste to ještě neudělali.
Pokud chcete spouštět příkazy přímo v cloudu, použijte Azure Cloud Shell.
Pouze místní PowerShell:
Nainstalujte modul Azure Active Directory PowerShellu.
Přihlaste se do Azure:
Connect-AzAccount
Získání ID objektu
Určete ID objektu aplikace, skupiny nebo uživatele, ke kterému chcete přiřadit zásadu přístupu:
Aplikace a další instanční objekty: Pomocí rutiny Get-AzADServicePrincipal s parametrem -SearchString vyfiltrujte výsledky podle názvu požadovaného instančního objektu:
Get-AzADServicePrincipal -SearchString <search-string>
Skupiny: Pomocí rutiny Get-AzADGroup s -SearchString parametrem vyfiltrujte výsledky podle názvu požadované skupiny:
Get-AzADGroup -SearchString <search-string>
Ve výstupu je ID objektu uvedené jako Id.
Uživatelé: Použijte rutinu Get-AzADUser a předáte parametru e-mailovou -UserPrincipalName adresu uživatele.
Get-AzAdUser -UserPrincipalName <email-address-of-user>
Ve výstupu je ID objektu uvedené jako Id.
Přiřaďte zásady přístupu.
Pomocí rutiny Set-AzKeyVaultAccessPolicy přiřaďte zásady přístupu:
Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions
Potřebujete zahrnout pouze -PermissionsToSecrets, -PermissionsToKeys a -PermissionsToCertificates při přiřazování oprávnění k těmto konkrétním typům. Povolené hodnoty pro <secret-permissions>a <key-permissions><certificate-permissions>jsou uvedeny v dokumentaci Set-AzKeyVaultAccessPolicy - Parameters.
Další kroky