Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Preguntas más frecuentes
No puedo enumerar ni obtener secretos, claves o certificados. Veo un error de "algo salió mal"
Si tiene problemas con enumerar, obtener o crear o acceder al secreto, asegúrese de que tiene definida la directiva de acceso para realizar esa operación: Directivas de acceso de Key Vault
¿De qué modo puedo identificar cómo y cuándo se accede a los almacenes de claves?
Después de crear uno o varios almacenes de claves, es probable que quiera supervisar cómo y cuándo se accede a los almacenes de claves y por quién. Puede realizar la supervisión habilitando el registro de Azure Key Vault para obtener una guía paso a paso para habilitar el registro y obtener más información.
¿Cómo se puede supervisar la disponibilidad del almacén, los períodos de latencia del servicio u otras métricas de rendimiento para el almacén de claves?
Cuando empiece a escalar el servicio, aumentará el número de solicitudes que se envían al almacén de claves. Esta demanda tiene un potencial de aumentar la latencia de sus solicitudes y, en casos extremos, hacer que las solicitudes sean limitadas, lo que reducirá el rendimiento de su servicio. Puede supervisar las métricas de rendimiento del almacén de claves y recibir alertas de umbrales específicos en la guía paso a paso para configurar la supervisión aquí.
No puedo modificar la directiva de acceso, ¿cómo se puede habilitar?
El usuario debe tener permisos suficientes de Microsoft Entra para modificar la directiva de acceso. En este caso, el usuario tendría que tener un rol de colaborador superior.
Veo el error "Directiva desconocida". ¿Qué significa eso?
Hay dos motivos por los que puede ver una directiva de acceso en la sección Desconocido:
- Un usuario anterior tenía acceso, pero ese usuario ya no existe.
- La directiva de acceso se agregó mediante PowerShell usando el id. de objeto de la aplicación en lugar de la entidad de servicio.
¿Cómo se puede asignar el control de acceso para cada objeto de almacén de claves?
Se debe evitar la asignación de roles en claves individuales, secretos y certificados. Excepciones a instrucciones generales:
Escenarios en los que se deben compartir secretos individuales entre varias aplicaciones, por ejemplo, una aplicación necesita acceder a los datos de la otra aplicación.
¿Cómo se puede proporcionar la autenticación del almacén de claves mediante la directiva de control de acceso?
La manera más sencilla de autenticar una aplicación basada en la nube en Key Vault es con una identidad administrada; Consulte Autenticación en Azure Key Vault para más información. Si va a crear una aplicación local, al realizar el desarrollo local (o si no puede usar una identidad administrada), puede registrar manualmente una entidad de servicio y proporcionar acceso a su almacén de claves mediante una directiva de control de acceso. Consulte Asignación de una directiva de control de acceso.
¿Cómo puedo conceder al grupo de Active Directory acceso a la bóveda de claves?
Usa el comando az keyvault set-policy
de Azure CLI o el cmdlet Set-AzKeyVaultAccessPolicy de Azure PowerShell para otorgar permisos al grupo de AD en tu almacén de claves. Consulte Asignación de una directiva de acceso: CLI y Asignación de una directiva de acceso: PowerShell.
La aplicación también necesita al menos un rol de administración de identidades y accesos (IAM) asignado a la bóveda de claves. De lo contrario, no podrá iniciar sesión y fallará debido a derechos insuficientes para acceder a la suscripción. Los grupos de Microsoft Entra con identidades administradas pueden requerir muchas horas para actualizar los tokens y ser efectivos. Consulte Limitación del uso de identidades administradas para la autorización.
¿Cómo puedo volver a implementar Key Vault con una plantilla de ARM sin eliminar las directivas de acceso existentes?
Actualmente, la reimplementación de Key Vault elimina cualquier directiva de acceso de Key Vault y las reemplaza por la directiva de acceso en la plantilla de ARM. No hay ninguna opción incremental para las directivas de acceso de Key Vault. Para conservar las directivas de acceso en Key Vault, debe leer las directivas de acceso existentes en Key Vault y rellenar la plantilla de ARM con esas directivas para evitar interrupciones de acceso.
Otra opción que puede ayudar a este escenario es usar RBAC de Azure y roles como alternativa a las directivas de acceso. Con RBAC de Azure, puede desplegar nuevamente la bóveda de claves sin tener que especificar nuevamente la política. Puede leer más esta solución aquí.
Pasos de solución de problemas recomendados para los siguientes tipos de error
- HTTP 401: Solicitud no autenticada: pasos de solución de problemas
- HTTP 403: Permisos insuficientes: pasos de solución de problemas
- HTTP 429: Demasiadas solicitudes: pasos de solución de problemas
- Compruebe si ha eliminado el permiso de acceso al almacén de claves: consulte Asignación de una directiva de acceso: CLI, Asignación de una directiva de acceso: PowerShell o Asignación de una directiva de acceso: Portal.
- Si tiene problemas con la autenticación en el almacén de claves en el código, use el SDK de autenticación
¿Cuáles son los procedimientos recomendados que debo implementar cuando se esté limitando el almacén de claves?
Siga los procedimientos recomendados, documentados aquí.
Pasos siguientes
Aprenda a solucionar errores de autenticación del almacén de claves: Guía de solución de problemas de Key Vault.