Az Access Policy engedélymodell használata esetén a kulcstartó felügyeleti síkjára vonatkozó engedélyeket tartalmazó Microsoft.KeyVault/vaults/write , Key Vault Contributorvagy bármely más szerepkörrel rendelkező felhasználó egy Key Vault hozzáférési szabályzat beállításával Contributorbiztosíthat magának adatsík-hozzáférést. A kulcstartók, kulcsok, titkos kulcsok és tanúsítványok jogosulatlan hozzáférésének és kezelésének megakadályozása érdekében elengedhetetlen, hogy a közreműködői szerepkör hozzáférése korlátozva legyen a kulcstartókhoz az Access Policy engedélymodellben. A kockázat csökkentése érdekében javasoljuk, hogy használja a szerepköralapú hozzáférés-vezérlési (RBAC) engedélymodellt, amely a "Tulajdonos" és a "Felhasználói hozzáférés-rendszergazda" szerepkörökre korlátozza az engedélykezelést, lehetővé téve a biztonsági műveletek és a felügyeleti feladatok egyértelmű elkülönítését. További információt a Key Vault RBAC útmutatójában és az Azure RBAC-ben találhat.
A Key Vault hozzáférési szabályzata meghatározza, hogy egy adott biztonsági tag, azaz egy felhasználó, alkalmazás vagy felhasználói csoport különböző műveleteket hajthat-e végre a Key Vault titkos kulcsokon, kulcsokon és tanúsítványokon. Hozzáférési szabályzatokat az Azure Portal, az Azure CLI vagy az Azure PowerShell használatával rendelhet hozzá.
A Key Vault legfeljebb 1024 hozzáférésiszabályzat-bejegyzést támogat, amelyek mindegyike külön engedélyeket biztosít az adott rendszerbiztonsági tag számára. A korlátozás miatt javasoljuk, hogy lehetőség szerint az egyes felhasználók helyett a felhasználói csoportokhoz rendeljen hozzáférési szabályzatokat. A csoportok használata sokkal egyszerűbbé teszi a szervezeten belüli több személy engedélyeinek kezelését. További információ: Alkalmazás- és erőforrás-hozzáférés kezelése Microsoft Entra-csoportok használatával.
Válassza az Access-szabályzatok, majd a Létrehozás elemet:
Válassza ki a kívánt engedélyeket a kulcsengedélyek, titkos kódok és tanúsítványengedélyek alatt.
Az Egyszerű kijelölés panelen írja be a felhasználó, az alkalmazás vagy a szolgáltatásnév nevét a keresőmezőbe, és válassza ki a megfelelő eredményt.
Ha felügyelt identitást használ az alkalmazáshoz, keresse meg és válassza ki magának az alkalmazásnak a nevét. (További információ a biztonsági tagokról: Key Vault-hitelesítés.
Tekintse át a hozzáférési szabályzat módosításait, és kattintson a Létrehozás gombra a hozzáférési szabályzat mentéséhez.
Az Access-szabályzatok lapon ellenőrizze, hogy a hozzáférési szabályzat szerepel-e a listában.
Az Azure CLI-parancsok helyi futtatásához telepítse az Azure CLI-t.
A parancsok közvetlenül a felhőben való futtatásához használja az Azure Cloud Shellt.
Csak helyi parancssori felület: jelentkezzen be az Azure-ba a következő használatával az login:
az login
A az login parancs megnyitja a böngészőablakot, hogy szükség esetén hitelesítő adatokat gyűjtsön.
Az objektumazonosító beszerzése
Határozza meg annak az alkalmazásnak, csoportnak vagy felhasználónak az objektumazonosítóját, amelyhez a hozzáférési szabályzatot hozzá szeretné rendelni:
Alkalmazások és egyéb szolgáltatásnevek: a szolgáltatásnevek lekéréséhez használja az az ad sp list parancsot. Vizsgálja meg a parancs kimenetét annak a biztonsági tagnak az objektumazonosítójának meghatározásához, amelyhez a hozzáférési szabályzatot hozzá szeretné rendelni.
az ad sp list --show-mine
Csoportok: használja az az ad group list parancsot, és szűrje az eredményeket a --display-name következő paraméterrel:
az ad group list --display-name <search-string>
Felhasználók: használja az az ad user show parancsot, és adja meg a felhasználó e-mail-címét a --id paraméterben:
Cserélje le <object-id> a biztonsági tag objektumazonosítójára.
Csak az adott típusokhoz tartozó engedélyeket kell tartalmaznia--secret-permissions--key-permissions, és --certificate-permissions ha engedélyeket rendel hozzá. A , <key-permissions><certificate-permissions> és az az keyvault set-policy dokumentációjában megadott engedélyezett értékek<secret-permissions>.
További információ a csoportok Azure PowerShell-lel való létrehozásáról a Microsoft Entra ID-ban: New-AzADGroup és Add-AzADGroupMember.
A PowerShell és a bejelentkezés konfigurálása
Ha helyileg szeretne parancsokat futtatni, telepítse az Azure PowerShellt , ha még nem tette meg.
A parancsok közvetlenül a felhőben való futtatásához használja az Azure Cloud Shellt.
Határozza meg annak az alkalmazásnak, csoportnak vagy felhasználónak az objektumazonosítóját, amelyhez a hozzáférési szabályzatot hozzá szeretné rendelni:
Alkalmazások és egyéb szolgáltatásnevek: a Get-AzADServicePrincipal parancsmag és a -SearchString paraméter használatával szűrje az eredményeket a kívánt szolgáltatásnév nevére:
Csak az adott típusokhoz tartozó engedélyeket kell tartalmaznia-PermissionsToSecrets-PermissionsToKeys, és -PermissionsToCertificates ha engedélyeket rendel hozzá. A Set-AzKeyVaultAccessPolicy – Parameters dokumentációban megadott és engedélyezett értékek<secret-permissions>. <key-permissions><certificate-permissions>
