Řešení potíží se zásadami přístupu ke službě Azure Key Vault
Nemůžu vypsat nebo získat tajné kódy, klíče nebo certifikáty. Zobrazuje se chyba "Něco se nepovedlo"
Pokud máte potíže s výpisem, získáním nebo vytvořením tajného kódu nebo přístupem k tajnému kódu, ujistěte se, že máte definované zásady přístupu k této operaci: Zásady přístupu ke službě Key Vault
Po vytvoření jednoho nebo více trezorů klíčů budete pravděpodobně chtít monitorovat, jak a kdy se k trezorům klíčů přistupuje a kdo. Monitorování můžete provést povolením protokolování pro Azure Key Vault, kde najdete podrobného průvodce povolením protokolování, přečtěte si další informace.
Jak můžu monitorovat dostupnost trezoru, období latence služby nebo jiné metriky výkonu pro trezor klíčů?
Když začnete škálovat službu, zvýší se počet požadavků odeslaných do trezoru klíčů. Taková poptávka může zvýšit latenci vašich požadavků a v extrémních případech způsobit omezování požadavků, což sníží výkon vaší služby. Můžete monitorovat metriky výkonu trezoru klíčů a upozorňovat na konkrétní prahové hodnoty, podrobný průvodce konfigurací monitorování a další informace.
Uživatel musí mít dostatečná oprávnění Microsoft Entra k úpravě zásad přístupu. V takovém případě by uživatel musel mít vyšší roli přispěvatele.
Existují dva důvody, proč se v části Neznámé můžou zobrazit zásady přístupu:
- Předchozí uživatel měl přístup, ale tento uživatel již neexistuje.
- Zásady přístupu byly přidány prostřednictvím PowerShellu s použitím id objektu aplikace místo instančního objektu.
Přiřazování rolí pro jednotlivé klíče, tajné klíče a certifikáty by se mělo vyhnout. Výjimky z obecných pokynů:
Scénáře, kdy musí být jednotlivé tajné kódy sdíleny mezi více aplikacemi, například jedna aplikace potřebuje přístup k datům z druhé aplikace
Nejjednodušší způsob, jak ověřit cloudovou aplikaci ve službě Key Vault, je spravovaná identita; Podrobnosti najdete v tématu Ověřování ve službě Azure Key Vault . Pokud vytváříte místní aplikaci, provádíte místní vývoj nebo jinak nemůžete použít spravovanou identitu, můžete místo toho zaregistrovat instanční objekt ručně a poskytnout přístup k trezoru klíčů pomocí zásad řízení přístupu. Viz Přiřazení zásad řízení přístupu.
Pomocí příkazu Azure CLI az keyvault set-policy
nebo rutiny Azure PowerShell Set-AzKeyVaultAccessPolicy udělte skupině AD oprávnění k trezoru klíčů. Viz Přiřazení zásad přístupu – rozhraní příkazového řádku a přiřazení zásad přístupu – PowerShell.
Aplikace musí také mít k trezoru klíčů přiřazenou alespoň jednu roli Správy identit a přístup (IAM). Jinak se nebude moct přihlásit a selže kvůli nedostatečným oprávněním pro přístup k předplatnému. Skupiny Microsoft Entra se spravovanými identitami můžou vyžadovat mnoho hodin, než se tokeny aktualizují a začnou platit. Viz Omezení používání spravovaných identit pro autorizaci
Jak můžu znovu nasadit key Vault pomocí šablony ARM, aniž bych odstranil existující zásady přístupu?
V současné době služba Key Vault znovu nasazuje všechny zásady přístupu ve službě Key Vault a nahrazuje je zásadami přístupu v šabloně ARM. Pro zásady přístupu ke službě Key Vault neexistuje žádná přírůstková možnost. Pokud chcete zachovat zásady přístupu ve službě Key Vault, musíte číst stávající zásady přístupu ve službě Key Vault a naplnit šablony ARM těmito zásadami, abyste se vyhnuli výpadkům přístupu.
Další možností, která může pomoct pro tento scénář, je použití Azure RBAC a rolí jako alternativy k zásadám přístupu. Pomocí Azure RBAC můžete trezor klíčů znovu nasadit bez opětovného zadání zásad. Další informace o tomto řešení najdete tady.
- HTTP 401: Neověřený požadavek – kroky pro řešení potíží
- HTTP 403: Nedostatečná oprávnění – kroky pro řešení potíží
- HTTP 429: Příliš mnoho požadavků – kroky pro řešení potíží
- Zkontrolujte, jestli jste odstranili oprávnění k přístupu k trezoru klíčů: Viz Přiřazení zásad přístupu – CLI, Přiřazení zásad přístupu – PowerShell nebo Přiřazení zásad přístupu – Portál.
- Pokud máte problém s ověřením v trezoru klíčů prostřednictvím kódu, použijte sadu SDK pro ověřování.
Postupujte podle osvědčených postupů, které jsou popsané tady.
Zjistěte, jak řešit chyby ověřování trezoru klíčů: Průvodce odstraňováním potíží se službou Key Vault.