Key Vault hozzáférési szabályzat hozzárendelése (régi típusú)

Warning

A nagyobb biztonság érdekében használja a Role-Based Access Control (RBAC) engedélymodellt a hozzáférési szabályzatok helyett a Azure Key Vault kezelésekor. Az RBAC csak a "Tulajdonos" és a "Felhasználói hozzáférés-rendszergazda" szerepkörre korlátozza az engedélykezelést, így egyértelmű elkülönítést biztosít a biztonsági és a felügyeleti feladatok között. További információ: Mi az Azure RBAC? és a Key Vault RBAC útmutató.

A hozzáférési szabályzat engedélymodelljével a Contributor, a Key Vault Contributor vagy a Microsoft.KeyVault/vaults/write engedélyekkel rendelkező felhasználók egy Key Vault hozzáférési szabályzat konfigurálásával adhatnak hozzáférést az adatsíkhoz. Ez a kulcstárak, kulcsok, titkok és tanúsítványok jogosulatlan elérését és kezelését eredményezheti. Ennek a kockázatnak a csökkentése érdekében az Access Policy-modell használatakor korlátozza a közreműködő szerepkör hozzáférését a kulcstárakhoz.

Important

A hozzáférési szabályzatok a Azure Key Vault örökölt engedélyezési modelljei. Új üzemelő példányok esetén használja inkább Azure szerepköralapú hozzáférés-vezérlést (RBAC). Lásd: Hozzáférés biztosítása a Key Vault kulcsaihoz, tanúsítványaihoz és titkos adataihoz Azure-beli szerepköralapú hozzáférés-vezérléssel és Az Azure Key Vault védelme.

A Key Vault hozzáférési szabályzat határozza meg, hogy egy adott biztonsági tag, nevezetesen egy felhasználó, alkalmazás vagy felhasználói csoport különböző műveleteket hajthat-e végre Key Vault secrets, keys és certificates. Hozzáférési szabályzatokat a Azure portálon, a Azure CLI vagy a Azure PowerShell keresztül rendelhet hozzá.

A Key Vault legfeljebb 1024 hozzáférésiszabályzat-bejegyzést támogat, amelyek mindegyike külön engedélyeket biztosít az adott rendszerbiztonsági tag számára. A korlátozás miatt javasoljuk, hogy lehetőség szerint az egyes felhasználók helyett a felhasználói csoportokhoz rendeljen hozzáférési szabályzatokat. A csoportok használata sokkal egyszerűbbé teszi a szervezeten belüli több személy engedélyeinek kezelését. További információ: Alkalmazás és erőforrás-hozzáférés Microsoft Entra csoportok használatával.

Azure portál

Hozzáférési szabályzat hozzárendelése

1. A Azure portálon keresse meg a Key Vault erőforrást.

2. Válassza a Hozzáférési szabályzatok, majd a Létrehozás elemet:

   

3. Válassza ki a kívánt engedélyeket a kulcsengedélyek, titkos kódok és tanúsítványengedélyek alatt.

   

4. A Fő kijelölés panelen írja be a felhasználó, az alkalmazás vagy a szolgáltatásnév nevét a keresőmezőbe, és válassza ki a megfelelő eredményt.

   

   Ha felügyelt identitást használ az alkalmazáshoz, keresse meg és válassza ki magának az alkalmazásnak a nevét. (További információ a biztonsági tagokról: Key Vault hitelesítés.

5. Tekintse át a hozzáférési szabályzat módosításait, és kattintson a Létrehozás gombra a hozzáférési szabályzat mentéséhez.

   

6. Az Access-szabályzatok lapon ellenőrizze, hogy a hozzáférési szabályzat szerepel-e a listában.

   

Azure CLI

További információ a Microsoft Entra ID csoportok létrehozásáról az Azure CLI használatával: az ad group create és az ad group member add.

A Azure CLI konfigurálása és bejelentkezés

1. A Azure CLI parancsok helyi futtatásához telepítse a Azure CLI.

   A parancsok közvetlenül a felhőben való futtatásához használja a Azure Cloud Shell.

2. Csak helyi parancssori felület: jelentkezzen be Azure a az login használatával:

   az login
   

   A az login parancs megnyitja a böngészőablakot, hogy szükség esetén hitelesítő adatokat gyűjtsön.

Az objektumazonosító beszerzése

Határozza meg annak az alkalmazásnak, csoportnak vagy felhasználónak az objektumazonosítóját, amelyhez a hozzáférési szabályzatot hozzá szeretné rendelni:

• Alkalmazások és egyéb szolgáltatásnevek: a szolgáltatásnevek lekéréséhez használja az az ad sp list parancsot. Vizsgálja meg a parancs kimenetét annak a biztonsági tagnak az objektumazonosítójának meghatározásához, amelyhez a hozzáférési szabályzatot hozzá szeretné rendelni.

  az ad sp list --show-mine
  

• Csoportok: használja az "az ad group list" parancsot, szűrje az eredményeket a --display-name paraméterrel:

  az ad group list --display-name <search-string>
  

• Felhasználók: használja az az ad user show parancsot, és adja meg a felhasználó e-mail-címét a --id paraméterben:

  az ad user show --id <email-address-of-user>
  

A hozzáférési szabályzat hozzárendelése

A kívánt engedélyek hozzárendeléséhez használja az az keyvault set-policy parancsot:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

Cserélje le <object-id> a biztonsági tag objektumazonosítójára.

Csak a --secret-permissions, --key-permissions és --certificate-permissions elemeket kell beillesztenie, amikor engedélyeket rendel ezekhez az adott típusokhoz. Az engedélyezett értékek <secret-permissions>, <key-permissions>, és <certificate-permissions> az "az keyvault set-policy" dokumentációjában találhatók.

Azure PowerShell

További információ a csoportok Microsoft Entra ID Azure PowerShell használatával történő létrehozásáról: New-AzADGroup és Add-AzADGroupMember.

A PowerShell és a bejelentkezés konfigurálása

1. A parancsok helyi futtatásához telepítse Azure PowerShell, ha még nem tette meg.

   A parancsok közvetlenül a felhőben való futtatásához használja a Azure Cloud Shell.

2. Csak a helyi gépen futó PowerShell:

   1. Telepítse a Microsoft Entra ID PowerShell-modult.

   2. Jelentkezz be az Azure-ba:

      Connect-AzAccount
      

Az objektumazonosító beszerzése

Határozza meg annak az alkalmazásnak, csoportnak vagy felhasználónak az objektumazonosítóját, amelyhez a hozzáférési szabályzatot hozzá szeretné rendelni:

• Alkalmazások és egyéb szolgáltatásnevek: a Get-AzADServicePrincipal parancsmag és a -SearchString paraméter használatával szűrje az eredményeket a kívánt szolgáltatásnév nevére:

  Get-AzADServicePrincipal -SearchString "<search-string>"
  

• Csoportok: a Get-AzADGroup parancsmaggal és a -SearchString paraméterrel szűrje az eredményeket a kívánt csoport nevére:

  Get-AzADGroup -SearchString "<search-string>"
  

  A kimenetben az objektumazonosító a következőként Idjelenik meg: .

• Felhasználók: használja a Get-AzADUser parancsmagot, és adja át a felhasználó e-mail-címét a -UserPrincipalName paraméternek.

   Get-AzAdUser -UserPrincipalName <email-address-of-user>
  

  A kimenetben az objektumazonosító a következőként Idjelenik meg: .

A hozzáférési szabályzat hozzárendelése

A hozzáférési szabályzat hozzárendeléséhez használja a Set-AzKeyVaultAccessPolicy parancsmagot:

Set-AzKeyVaultAccessPolicy -VaultName "<vault-name>" -ObjectId "<object-id>" -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions>    

Csak a -PermissionsToSecrets, -PermissionsToKeys és -PermissionsToCertificates elemeket kell beillesztenie, amikor engedélyeket rendel ezekhez az adott típusokhoz. A <secret-permissions>, <key-permissions>, és <certificate-permissions> engedélyezett értékei a Set-AzKeyVaultAccessPolicy - Parameters dokumentációban találhatók.

Következő lépések

• Az Azure Key Vault biztonság
• Azure Key Vault fejlesztői útmutató