Přiřazení zásad přístupu ke službě Key Vault (starší verze)
Článek
Zásada přístupu ke službě Key Vault určuje, jestli daný objekt zabezpečení, konkrétně uživatel, aplikace nebo skupina uživatelů, může provádět různé operace s tajnými klíči, klíči a certifikáty služby Key Vault. Zásady přístupu můžete přiřadit pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.
Trezor klíčů podporuje až 1 024 položek zásad přístupu, z nichž každá uděluje odlišnou sadu oprávnění ke konkrétnímu objektu zabezpečení. Kvůli tomuto omezení doporučujeme přiřazovat zásady přístupu skupinám uživatelů, pokud je to možné, a ne jednotlivým uživatelům. Používání skupin usnadňuje správu oprávnění pro více lidí ve vaší organizaci. Další informace najdete v tématu Správa přístupu k aplikacím a prostředkům pomocí skupin Microsoft Entra.
Na webu Azure Portal přejděte k prostředku služby Key Vault.
Vyberte Zásady přístupu a pak vyberte Vytvořit:
Vyberte požadovaná oprávnění v části Oprávnění ke klíči, Oprávnění k tajným klíčům a Oprávnění k certifikátu.
V podokně výběru objektu zabezpečení zadejte do vyhledávacího pole název uživatele, aplikace nebo instanční objekt a vyberte odpovídající výsledek.
Pokud pro aplikaci používáte spravovanou identitu, vyhledejte a vyberte název samotné aplikace. (Další informace o objektech zabezpečení najdete v tématu Ověřování ve službě Key Vault
Zkontrolujte změny zásad přístupu a výběrem možnosti Vytvořit uložte zásady přístupu.
Vraťte se na stránku Zásad přístupu a ověřte, že jsou uvedené zásady přístupu.
Pokud chcete příkazy Azure CLI spouštět místně, nainstalujte Azure CLI.
Pokud chcete spouštět příkazy přímo v cloudu, použijte Azure Cloud Shell.
Pouze místní rozhraní příkazového řádku: Přihlaste se k Azure pomocí az login:
az login
Příkaz az login otevře okno prohlížeče a v případě potřeby shromáždí přihlašovací údaje.
Získání ID objektu
Určete ID objektu aplikace, skupiny nebo uživatele, ke kterému chcete přiřadit zásadu přístupu:
Aplikace a další instanční objekty: Pomocí příkazu az ad sp list načtěte instanční objekty. Prozkoumejte výstup příkazu a určete ID objektu objektu zabezpečení, ke kterému chcete přiřadit zásadu přístupu.
az ad sp list --show-mine
Skupiny: Použijte příkaz az ad group list a vyfiltrujte výsledky pomocí parametru --display-name :
az ad group list --display-name <search-string>
Uživatelé: Použijte příkaz az ad user show a předáte e-mailovou adresu uživatele v parametru --id :
Nahraďte <object-id> ID objektu vašeho objektu zabezpečení.
Musíte zahrnout --secret-permissionspouze , --key-permissionsa --certificate-permissions při přiřazování oprávnění k těmto konkrétním typům. Povolené hodnoty pro <secret-permissions>a <certificate-permissions><key-permissions>jsou uvedeny v dokumentaci az keyvault set-policy.
Další informace o vytváření skupin v MICROSOFT Entra ID pomocí Azure PowerShellu najdete v tématu New-AzADGroup a Add-AzADGroupMember.
Konfigurace PowerShellu a přihlášení
Pokud chcete příkazy spouštět místně, nainstalujte Azure PowerShell , pokud jste to ještě neudělali.
Pokud chcete spouštět příkazy přímo v cloudu, použijte Azure Cloud Shell.
Určete ID objektu aplikace, skupiny nebo uživatele, ke kterému chcete přiřadit zásadu přístupu:
Aplikace a další instanční objekty: Pomocí rutiny Get-AzADServicePrincipal s parametrem -SearchString vyfiltrujte výsledky podle názvu požadovaného instančního objektu:
Musíte zahrnout -PermissionsToSecretspouze , -PermissionsToKeysa -PermissionsToCertificates při přiřazování oprávnění k těmto konkrétním typům. Povolené hodnoty pro <secret-permissions>a <certificate-permissions><key-permissions>jsou uvedeny v dokumentaci Set-AzKeyVaultAccessPolicy - Parameters.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
