Saat menggunakan model izin Kebijakan Akses, pengguna dengan Contributor, Key Vault Contributor, atau peran lain yang menyertakan Microsoft.KeyVault/vaults/write izin untuk bidang manajemen brankas kunci dapat memberi diri mereka akses sarana data dengan mengatur kebijakan akses Key Vault. Untuk mencegah akses dan manajemen brankas kunci, kunci, rahasia, dan sertifikat Anda yang tidak sah, penting untuk membatasi akses peran Kontributor ke brankas kunci di bawah model izin Kebijakan Akses. Untuk mengurangi risiko ini, kami sarankan Anda menggunakan model izin Kontrol Akses Berbasis Peran (RBAC), yang membatasi manajemen izin ke peran 'Pemilik' dan 'Administrator Akses Pengguna', yang memungkinkan pemisahan yang jelas antara operasi keamanan dan tugas administratif. Lihat Panduan RBAC Key Vault dan Apa itu Azure RBAC? untuk informasi selengkapnya.
Kebijakan akses Key Vault menentukan apakah prinsip keamanan tertentu, yaitu pengguna, aplikasi, atau grup pengguna, dapat melakukan operasi yang berbeda pada Vault Utama rahasia, kunci, dan sertifikat. Anda dapat menetapkan kebijakan akses menggunakan Portal Azure, Azure CLI, atau Azure PowerShell.
Key Vault mendukung hingga 1024 entri kebijakan akses dengan setiap entri memberikan set izin yang berbeda untuk perwakilan keamanan tertentu. Karena pembatasan ini, sebaiknya tetapkan kebijakan akses ke grup pengguna, jika memungkinkan, daripada pengguna individu. Menggunakan grup mempermudah pengelolaan izin untuk beberapa orang di organisasi Anda. Untuk informasi selengkapnya, lihat Mengelola akses aplikasi dan sumber daya menggunakan grup Microsoft Entra.
Pada Azure portal, buka sumber daya brankas kunci di Azure Portal.
Pilih Kebijakan akses, lalu pilih Buat:
Pilih izin yang Anda inginkan di bawah Izin kunci, Izin rahasia, dan Izin sertifikat.
Di bawah panel Pilihan utama , masukkan nama pengguna, aplikasi, atau perwakilan layanan di bidang pencarian dan pilih hasil yang sesuai.
Jika Anda menggunakan identitas terkelola untuk aplikasi, cari dan pilih nama aplikasi itu sendiri. (Untuk informasi selengkapnya tentang prinsip keamanan, lihat Autentikasi Key Vault.
Tinjau perubahan kebijakan akses dan pilih Buat untuk menyimpan kebijakan akses.
Kembali ke halaman Kebijakan akses , verifikasi bahwa kebijakan akses Anda tercantum.
Untuk menjalankan perintah Azure CLI secara lokal, instal Azure CLI.
Untuk menjalankan perintah langsung di awan, gunakan Azure Cloud Shell.
CLI lokal saja: masuk ke Azure menggunakan az login :
az login
Perintah az login membuka jendela browser untuk mengumpulkan kredensial jika diperlukan.
Memperoleh ID objek
Tentukan ID objek aplikasi, grup, atau pengguna yang ingin Anda tetapkan kebijakan aksesnya:
Aplikasi dan perwakilan layanan lainnya: gunakan perintah daftar az ad sp untuk mengambil perwakilan layanan Anda. Periksa output perintah untuk menentukan ID objek dari prinsip keamanan yang ingin Anda tetapkan kebijakan aksesnya.
az ad sp list --show-mine
Grup: gunakan perintah az daftar grup iklan, memfilter hasil dengan --display-name parameter:
az ad group list --display-name <search-string>
Pengguna: gunakan perintah az tampilkan pengguna iklan yang meneruskan alamat email pengguna dalam --id parameter:
Ganti <object-id> dengan ID objek kepala keamanan Anda.
Anda hanya perlu menyertakan --secret-permissions,--key-permissions, dan --certificate-permissions ketika menetapkan izin untuk jenis tertentu. Nilai yang diperbolehkan untuk <secret-permissions>, <key-permissions>, dan <certificate-permissions> diberikan dalam dokumentasi set-policy az keyvault.
Untuk informasi selengkapnya tentang membuat grup di MICROSOFT Entra ID menggunakan Azure PowerShell, lihat New-AzADGroup dan Add-AzADGroupMember.
Mengonfigurasi PowerShell dan masuk
Untuk menjalankan perintah secara lokal, instal Azure PowerShell jika Anda belum melakukannya.
Untuk menjalankan perintah langsung di awan, gunakan Azure Cloud Shell.
Tentukan ID objek aplikasi, grup, atau pengguna yang ingin Anda tetapkan kebijakan aksesnya:
Aplikasi dan prinsipal layanan lainnya: gunakan cmdlet Get-AzADServicePrincipal dengan -SearchString parameter untuk memfilter hasil dengan nama prinsipal layanan yang diinginkan:
Anda hanya perlu menyertakan -PermissionsToSecrets,-PermissionsToKeys, dan -PermissionsToCertificates ketika menetapkan izin untuk jenis tertentu. Nilai yang diperbolehkan untuk <secret-permissions>,<key-permissions> , dan diberikan dalam dokumentasi <certificate-permissions>Set-AzKeyVaultAccessPolicy - Parameters.
