Solución de problemas con las directivas de acceso de Azure Key Vault
Preguntas más frecuentes
No puedo mostrar u obtener secretos, claves o certificados. Veo el mensaje "Se ha producido un error".
Si tiene problemas con la enumeración, la obtención, la creación o el acceso al secreto, asegúrese de que tiene definida la directiva de acceso para realizar esa operación: Directivas de control de acceso.
¿De qué modo puedo identificar cómo y cuándo se accede a los almacenes de claves?
Después de crear uno o varios almacenes de claves, es probable que desee supervisar cómo y cuándo se accede a los almacenes de claves y quién lo hace. Para ello, puede habilitar el registro para Azure Key Vault. Si quiere consultar la guía paso a paso para habilitar el registro, lea más información.
¿Cómo se puede supervisar la disponibilidad del almacén, los períodos de latencia del servicio u otras métricas de rendimiento para el almacén de claves?
Cuando empiece a escalar el servicio, aumentará el número de solicitudes que se envían al almacén de claves. Es probable que esta demanda aumente la latencia de las solicitudes y, en casos extremos, puede hacer que las solicitudes se limiten, lo cual deteriorará el rendimiento del servicio. Puede supervisar las métricas de rendimiento del almacén de claves y recibir alertas de umbrales específicos en la guía paso a paso para configurar la supervisión aquí.
No puedo modificar la directiva de acceso, ¿cómo se puede habilitar?
El usuario debe tener permisos de Microsoft Entra suficientes para modificar la directiva de acceso. En este caso, el usuario debe tener un rol de colaborador o superior.
Aparece el error "Directiva desconocida". ¿Qué significa eso?
Hay dos motivos por los que puede ver un error de directiva de acceso desconocida:
- Un usuario anterior tenía acceso, pero ese usuario ya no existe.
- La directiva de acceso se agregó mediante PowerShell usando el id. de objeto de la aplicación en lugar de la entidad de servicio.
¿Cómo se puede asignar el control de acceso para cada objeto de almacén de claves?
Se debe evitar la asignación de roles en claves individuales, secretos y certificados. Excepciones a instrucciones generales:
Escenarios en los que se deben compartir secretos individuales entre varias aplicaciones, por ejemplo, una aplicación necesita acceder a los datos de la otra aplicación
¿Cómo se puede proporcionar la autenticación del almacén de claves mediante la directiva de control de acceso?
La manera más sencilla de autenticar una aplicación basada en la nube en Key Vault es con una identidad administrada. Consulte Autenticación en Azure Key Vault para más información. Si va a crear una aplicación local, al realizar el desarrollo local (o si no puede usar una identidad administrada), puede registrar manualmente una entidad de servicio y proporcionar acceso a su almacén de claves mediante una directiva de control de acceso. Consulte Asignación de una directiva de control de acceso.
¿Cómo se puede conceder acceso al grupo de AD al almacén de claves?
Conceda al grupo de AD permisos en el almacén de claves mediante el comando az keyvault set-policy
de la CLI de Azure o el cmdlet Set-AzKeyVaultAccessPolicy de Azure PowerShell. Consulte Asignación de una directiva de acceso: CLI y Asignación de una directiva de acceso: PowerShell.
La aplicación también necesita al menos un rol de Administración de identidades y acceso (IAM) asignado al almacén de claves. De lo contrario, no podrá iniciar sesión y se producirá un error por derechos insuficientes para acceder a la suscripción. Los grupos de Microsoft Entra con identidades administradas puede requerir muchas horas para actualizar el token y entrar en vigor. Consulte Limitación del uso de identidades administradas para la autorización
¿Cómo se puede volver a implementar Key Vault con la plantilla ARM sin eliminar las directivas de acceso existentes?
Actualmente, al volver a implementar Key Vault, eliminará todas las directivas de acceso en Key Vault y las reemplazará por la directiva de acceso de la plantilla de ARM. No hay ninguna opción incremental para las directivas de acceso de Key Vault. Para conservar las directivas de acceso en Key Vault, necesita leer las directivas de acceso existentes en Key Vault y rellenar la plantilla de ARM con esas directivas a fin de evitar interrupciones en el acceso.
Otra opción que puede ayudar en este escenario es usar RBAC de Azure y roles como alternativa a las directivas de acceso. Con RBAC de Azure, puede volver a implementar el almacén de claves sin especificar la directiva de nuevo. Para más información acerca de esta solución, vaya aquí.
Pasos de solución de problemas recomendados para los tipos de errores
- HTTP 401: Solicitud no autenticada: Pasos de solución de problemas
- HTTP 403: Permisos insuficientes: Pasos de solución de problemas
- HTTP 429: Demasiadas solicitudes: Pasos de solución de problemas
- Compruebe si tiene permiso de acceso de eliminación en el almacén de claves: vea Asignación de una directiva de acceso: CLI, Asignación de una directiva de acceso: PowerShell o Asignación de una directiva de acceso: Azure Portal.
- Si tiene problemas con la autenticación en el almacén de claves en el código, use el SDK de autenticación
¿Cuáles son los procedimientos recomendados que debo implementar cuando se esté limitando el almacén de claves?
Siga los procedimientos que se recomiendan aquí.
Pasos siguientes
Aprenda a solucionar errores de autenticación de un almacén de claves: Guía de solución de problemas de Key Vault.