Přiřazení zásad přístupu ke službě Key Vault (starší verze)

Důležité

Při použití modelu oprávnění zásad přístupu může uživatel s Contributorrolí , Key Vault Contributornebo jakoukoli jinou roli, která zahrnuje Microsoft.KeyVault/vaults/write oprávnění pro rovinu správy trezoru klíčů, udělit přístup k rovině dat nastavením zásad přístupu ke službě Key Vault. Pokud chcete zabránit neoprávněnému přístupu a správě trezorů klíčů, klíčů, tajných kódů a certifikátů, je nezbytné omezit přístup role přispěvatele k trezorům klíčů v rámci modelu oprávnění zásad přístupu. Pokud chcete toto riziko zmírnit, doporučujeme použít model oprávnění řízení přístupu na základě role (RBAC), který omezuje správu oprávnění na role Vlastník a Správce uživatelských přístupů, což umožňuje jasné oddělení mezi operacemi zabezpečení a administrativními povinnostmi. Další informace najdete v průvodci RBAC služby Key Vault a co je Azure RBAC?

Zásada přístupu ke službě Key Vault určuje, jestli daný objekt zabezpečení, konkrétně uživatel, aplikace nebo skupina uživatelů, může provádět různé operace s tajnými klíči, klíči a certifikáty služby Key Vault. Zásady přístupu můžete přiřadit pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.

Trezor klíčů podporuje až 1 024 položek zásad přístupu, z nichž každá uděluje odlišnou sadu oprávnění ke konkrétnímu objektu zabezpečení. Kvůli tomuto omezení doporučujeme přiřazovat zásady přístupu skupinám uživatelů, pokud je to možné, a ne jednotlivým uživatelům. Používání skupin usnadňuje správu oprávnění pro více lidí ve vaší organizaci. Další informace najdete v tématu Správa přístupu k aplikacím a prostředkům pomocí skupin Microsoft Entra.

Azure Portal

Přiřazení zásad přístupu

1. Na webu Azure Portal přejděte k prostředku služby Key Vault.

2. Vyberte Zásady přístupu a pak vyberte Vytvořit:

   

3. Vyberte požadovaná oprávnění v části Oprávnění ke klíči, Oprávnění k tajným klíčům a Oprávnění k certifikátu.

   

4. V podokně výběru objektu zabezpečení zadejte do vyhledávacího pole název uživatele, aplikace nebo instanční objekt a vyberte odpovídající výsledek.

   

   Pokud pro aplikaci používáte spravovanou identitu, vyhledejte a vyberte název samotné aplikace. (Další informace o objektech zabezpečení najdete v tématu Ověřování ve službě Key Vault

5. Zkontrolujte změny zásad přístupu a výběrem možnosti Vytvořit uložte zásady přístupu.

   

6. Vraťte se na stránku Zásad přístupu a ověřte, že jsou uvedené zásady přístupu.

   

Azure CLI

Další informace o vytváření skupin v Microsoft Entra ID pomocí Azure CLI najdete v tématu az ad group create a az ad group member add.

Konfigurace Azure CLI a přihlášení

1. Pokud chcete příkazy Azure CLI spouštět místně, nainstalujte Azure CLI.

   Pokud chcete spouštět příkazy přímo v cloudu, použijte Azure Cloud Shell.

2. Pouze místní rozhraní příkazového řádku: Přihlaste se k Azure pomocí az login:

   az login
   

   Příkaz az login otevře okno prohlížeče a v případě potřeby shromáždí přihlašovací údaje.

Získání ID objektu

Určete ID objektu aplikace, skupiny nebo uživatele, ke kterému chcete přiřadit zásadu přístupu:

• Aplikace a další instanční objekty: Pomocí příkazu az ad sp list načtěte instanční objekty. Prozkoumejte výstup příkazu a určete ID objektu objektu zabezpečení, ke kterému chcete přiřadit zásadu přístupu.

  az ad sp list --show-mine
  

• Skupiny: Použijte příkaz az ad group list a vyfiltrujte výsledky pomocí parametru --display-name :

  az ad group list --display-name <search-string>
  

• Uživatelé: Použijte příkaz az ad user show a předáte e-mailovou adresu uživatele v parametru --id :

  az ad user show --id <email-address-of-user>
  

Přiřazení zásad přístupu

Pomocí příkazu az keyvault set-policy přiřaďte požadovaná oprávnění:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

Nahraďte <object-id> ID objektu vašeho objektu zabezpečení.

Musíte zahrnout --secret-permissionspouze , --key-permissionsa --certificate-permissions při přiřazování oprávnění k těmto konkrétním typům. Povolené hodnoty pro <secret-permissions>a <certificate-permissions> <key-permissions>jsou uvedeny v dokumentaci az keyvault set-policy.

Azure PowerShell

Další informace o vytváření skupin v MICROSOFT Entra ID pomocí Azure PowerShellu najdete v tématu New-AzADGroup a Add-AzADGroupMember.

Konfigurace PowerShellu a přihlášení

1. Pokud chcete příkazy spouštět místně, nainstalujte Azure PowerShell , pokud jste to ještě neudělali.

   Pokud chcete spouštět příkazy přímo v cloudu, použijte Azure Cloud Shell.

2. Jenom místní PowerShell:

   1. Nainstalujte modul Azure Active Directory PowerShellu.

   2. Přihlaste se do Azure:

      Connect-AzAccount
      

Získání ID objektu

Určete ID objektu aplikace, skupiny nebo uživatele, ke kterému chcete přiřadit zásadu přístupu:

• Aplikace a další instanční objekty: Pomocí rutiny Get-AzADServicePrincipal s parametrem -SearchString vyfiltrujte výsledky podle názvu požadovaného instančního objektu:

  Get-AzADServicePrincipal -SearchString <search-string>
  

• Skupiny: Pomocí rutiny Get-AzADGroup s -SearchString parametrem vyfiltrujte výsledky podle názvu požadované skupiny:

  Get-AzADGroup -SearchString <search-string>
  

  Ve výstupu je ID objektu uvedené jako Id.

• Uživatelé: Použijte rutinu Get-AzADUser a předáte parametru e-mailovou -UserPrincipalName adresu uživatele.

   Get-AzAdUser -UserPrincipalName <email-address-of-user>
  

  Ve výstupu je ID objektu uvedené jako Id.

Přiřazení zásad přístupu

Pomocí rutiny Set-AzKeyVaultAccessPolicy přiřaďte zásady přístupu:

Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions    

Musíte zahrnout -PermissionsToSecretspouze , -PermissionsToKeysa -PermissionsToCertificates při přiřazování oprávnění k těmto konkrétním typům. Povolené hodnoty pro <secret-permissions>a <certificate-permissions> <key-permissions>jsou uvedeny v dokumentaci Set-AzKeyVaultAccessPolicy - Parameters.

Další kroky

• Zabezpečení služby Azure Key Vault
• Příručka pro vývojáře ve službě Azure Key Vault