Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Häufig gestellte Fragen
Ich kann keine Geheimnisse, Schlüssel oder Zertifikate auflisten oder abrufen. Ich sehe die Fehlermeldung "Etwas ist schiefgelaufen"
Wenn Sie Probleme mit dem Auflisten/Abrufen/Erstellen des Geheimnisses oder mit dem Zugriff auf das Geheimnis haben, überprüfen Sie, ob Ihnen die entsprechende Azure RBAC-Rolle zugewiesen ist. Siehe Azure RBAC für Key Vault. Wenn Sie das Legacymodell für Zugriffsrichtlinienmodell verwenden, lesen Sie Key Vault-Zugriffsrichtlinien.
Wie kann ich ermitteln, wie und wann auf Schlüsseltresore zugegriffen wird?
Nachdem Sie einen oder mehrere Schlüsseltresor erstellt haben, sollten Sie wahrscheinlich überwachen, wie und wann auf Ihre Schlüsseltresor zugegriffen wird und von wem. Sie können die Überwachung durchführen, indem Sie die Protokollierung für Azure Key Vault aktivieren. Eine schrittweise Anleitung zum Aktivieren der Protokollierung, lesen Sie mehr.
Wie kann ich die Tresorverfügbarkeit, Dienstwartezeiten oder andere Leistungsmetriken für einen Schlüsseltresor überwachen?
Wenn Sie damit beginnen, Ihren Dienst zu skalieren, steigt die Anzahl von Anforderungen, die an Ihren Schlüsseltresor gesendet werden. Diese Nachfrage kann die Latenz Ihrer Anforderungen erhöhen und in extremen Fällen dazu führen, dass Ihre Anforderungen gedrosselt werden, wodurch die Leistung Ihres Diensts beeinträchtigt wird. Sie können Schlüsseltresor-Leistungsmetriken überwachen und Warnungen für bestimmte Schwellenwerte konfigurieren. Eine ausführliche Anleitung zum Konfigurieren der Überwachung finden Sie hier.
Ich kann die Zugriffsrichtlinie nicht ändern. Wie kann sie aktiviert werden?
Der Benutzer muss über ausreichende Microsoft Entra-Berechtigungen zum Ändern der Zugriffsrichtlinie verfügen. In diesem Fall müsste der Benutzer eine höhere Mitwirkenderolle haben.
Ich sehe den Fehler "Unbekannte Richtlinie". Was bedeutet das?
Es gibt zwei Gründe, warum möglicherweise eine Zugriffsrichtlinie im Abschnitt "Unbekannt" angezeigt wird:
- Ein vorheriger Benutzer hatte Zugriff, aber dieser Benutzer ist nicht mehr vorhanden.
- Die Zugriffsrichtlinie wurde über PowerShell mithilfe der Anwendungsobjekt-ID anstelle des Dienstprinzipals hinzugefügt.
Wie kann ich die Zugriffssteuerung pro Key Vault-Objekt zuweisen?
Das Zuweisen von Rollen zu einzelnen Schlüsseln, Geheimnissen und Zertifikaten sollte vermieden werden. Ausnahmen von allgemeinen Anleitungen:
Szenarien, in denen einzelne geheime Schlüssel zwischen mehreren Anwendungen gemeinsam genutzt werden müssen, z. B. muss eine Anwendung auf Daten aus der anderen Anwendung zugreifen.
Wie kann ich die Schlüsseltresorauthentifizierung per Zugriffssteuerungsrichtlinie bereitstellen?
Die einfachste Möglichkeit zum Authentifizieren einer cloudbasierten Anwendung bei Key Vault besteht aus einer verwalteten Identität. Details finden Sie unter Authentifizieren bei Azure Key Vault . Wenn Sie eine lokale Anwendung erstellen, lokale Entwicklungsarbeit durchführen oder anderweitig keine verwaltete Identität verwenden können, können Sie stattdessen einen Dienstprinzipal manuell registrieren und den Zugriff auf Ihren Schlüsseltresor mithilfe von Azure RBAC gewähren. Siehe Azure RBAC für Key Vault-Datenebenenvorgänge.
Wie kann ich der Azure AD-Gruppe Zugriff auf das Key Vault gewähren?
Erteilen Sie der AD-Gruppe Berechtigungen für Ihren Schlüsseltresor, indem Sie Azure RBAC mit dem Azure CLI-Befehl az role assignment create oder dem Azure PowerShell-Cmdlet New-AzRoleAssignment verwenden. Siehe Azure RBAC für Key Vault-Datenebenenvorgänge.
Hinweis
Wenn Sie ältere Zugriffsrichtlinien verwenden, können Sie den Azure CLI-Befehl az keyvault set-policy oder das Azure PowerShell-Cmdlet Set-AzKeyVaultAccessPolicy verwenden. Azure RBAC ist jedoch das empfohlene Autorisierungsmodell. Siehe Zuweisen einer Zugriffsrichtlinie – CLI und Zuweisen einer Zugriffsrichtlinie – PowerShell.
Für die Anwendung muss dem Schlüsseltresor darüber hinaus mindestens eine IAM-Rolle (Identity and Access Management, Identitäts- und Zugriffsverwaltung) zugewiesen werden. Andernfalls ist die Anmeldung nicht möglich, und es tritt ein Fehler aufgrund unzureichender Zugriffsberechtigungen für das Abonnement auf. Microsoft Entra-Gruppen mit verwalteten Identitäten erfordern möglicherweise viele Stunden, um Token zu aktualisieren und wirksam zu werden. Siehe Einschränkung der Verwendung von verwalteten Identitäten für die Autorisierung
Wie kann ich Key Vault mit ARM-Vorlage erneut bereitstellen, ohne vorhandene Zugriffsrichtlinien zu löschen?
Derzeit löscht die erneute Bereitstellung von Key Vault alle Zugriffsrichtlinien in Key Vault und ersetzt sie durch Zugriffsrichtlinien in der ARM-Vorlage. Es gibt keine inkrementelle Option für Zugriffsrichtlinien für Key Vault. Um Zugriffsrichtlinien im Key Vault beizubehalten, müssen Sie vorhandene Zugriffsrichtlinien im Key Vault lesen und die ARM-Vorlage mit diesen Richtlinien auffüllen, um Zugriffsausfälle zu vermeiden.
Eine weitere Option, die ihnen bei diesem Szenario helfen kann, ist die Verwendung von Azure RBAC und Rollen als Alternative zu Zugriffsrichtlinien. Mit Azure RBAC können Sie den Schlüsseltresor erneut bereitstellen, ohne die Richtlinie erneut anzugeben. Weitere Informationen finden Sie unter Bereitstellen des Zugriffs auf Schlüsseltresorschlüssel, Zertifikate und geheime Schlüssel mit rollenbasierter Azure-Zugriffssteuerung.
Empfohlene Schritte zur Problembehandlung für die folgenden Fehlertypen
- HTTP 401: Nicht authentifizierte Anforderung – Schritte zur Problembehandlung
- HTTP 403: Unzureichende Berechtigungen – Schritte zur Problembehandlung
- HTTP 429: Zu viele Anforderungen – Schritte zur Problembehandlung
- Überprüfen Sie, ob Sie die Zugriffsberechtigung für den Schlüsseltresor gelöscht haben: siehe Azure RBAC für Key Vault. Wenn Sie ältere Zugriffsrichtlinien verwenden, lesen Sie Zuweisen einer Zugriffsrichtlinie – CLI, Zuweisen einer Zugriffsrichtlinie – PowerShell oder Zuweisen einer Zugriffsrichtlinie – Portal.
- Wenn Sie ein Problem mit der Authentifizierung für den Schlüsseltresor im Code haben, verwenden Sie das Authentifizierungs-SDK.
Welche bewährten Methoden sollten implementiert werden, wenn der Schlüsseltresor gedrosselt wird?
Befolgen Sie die bewährten Methoden zum Einschränken Ihrer App als Reaktion auf Dienstgrenzwerte.
Nächste Schritte
Erfahren Sie, wie Sie Fehler bei der Key Vault-Authentifizierung beheben können: Handbuch zur Fehlerbehebung bei Key Vault.