Memecahkan masalah kebijakan akses Azure Key Vault

Tanya jawab umum

Saya tidak dapat mencantumkan atau mendapatkan rahasia/kunci/sertifikat. Saya melihat kesalahan "terjadi kesalahan"

Jika Anda mengalami masalah dengan mencantumkan/mendapatkan/membuat atau mengakses rahasia, pastikan Anda memiliki kebijakan akses yang ditentukan untuk melakukan operasi tersebut: Kebijakan Akses Key Vault

Bagaimana caranya mengidentifikasi bagaimana dan kapan brankas kunci Anda diakses?

Setelah membuat satu atau beberapa key vault, Anda mungkin ingin memantau bagaimana dan kapan key vault Anda diakses, dan oleh siapa. Anda dapat melakukan pemantauan dengan mengaktifkan pembuatan log untuk Azure Key Vault, untuk panduan langkah demi langkah untuk mengaktifkan pembuatan log, baca selengkapnya.

Bagaimana cara memantau ketersediaan brankas, periode latensi layanan, atau metrik kinerja lainnya untuk brankas kunci?

Ketika Anda mulai menskalakan layanan Anda, jumlah permintaan yang dikirim ke brankas kunci Anda akan naik. Permintaan tersebut berpotensi meningkatkan latensi permintaan Anda dan dalam kasus ekstrem, menyebabkan permintaan Anda dibatasi yang akan menurunkan performa layanan Anda. Anda dapat memantau metrik kinerja brankas kunci dan mendapatkan peringatan untuk ambang batas tertentu, untuk panduan langkah demi langkah untuk mengonfigurasi pemantauan, baca selengkapnya.

Saya tidak dapat mengubah kebijakan akses, bagaimana kebijakan tersebut dapat diaktifkan?

Pengguna harus memiliki izin Microsoft Entra yang memadai untuk mengubah kebijakan akses. Dalam hal ini, pengguna harus memiliki peran kontributor yang lebih tinggi.

Saya melihat kesalahan 'Kebijakan Tidak Diketahui'. Apa maksudnya?

Ada dua alasan mengapa Anda mungkin melihat kebijakan akses di bagian Tidak Diketahui:

• Pengguna sebelumnya memiliki akses tetapi pengguna tersebut tidak lagi ada.
• Kebijakan akses ditambahkan melalui PowerShell, menggunakan objectid aplikasi alih-alih perwakilan layanan.

Bagaimana cara menetapkan kontrol akses per objek brankas kunci?

Menetapkan peran pada kunci, rahasia, dan sertifikat individual harus dihindari. Pengecualian untuk panduan umum:

Skenario di mana rahasia individu harus dibagikan antara beberapa aplikasi, misalnya, satu aplikasi perlu mengakses data dari aplikasi lain

Bagaimana cara menyediakan otentikasi brankas kunci menggunakan kebijakan kontrol akses?

Cara paling sederhana untuk mengautentikasi aplikasi berbasis cloud ke Key Vault adalah dengan identitas terkelola; lihat Mengautentikasi ke Azure Key Vault untuk detailnya. Jika Anda membuat aplikasi lokal, melakukan pengembangan lokal, atau tidak dapat menggunakan identitas terkelola, Anda dapat mendaftarkan perwakilan layanan secara manual dan menyediakan akses ke brankas kunci Anda menggunakan kebijakan kontrol akses. Lihat Menetapkan kebijakan kontrol akses.

Bagaimana cara memberikan akses grup AD ke brankas kunci?

Berikan izin grup AD ke brankas kunci Anda menggunakan perintah az keyvault set-policy Azure CLI, atau cmdlet Azure PowerShell Set-AzKeyVaultAccessPolicy. Lihat Menetapkan kebijakan akses - CLI dan Menetapkan kebijakan akses - PowerShell.

Aplikasi ini juga membutuhkan setidaknya satu peran Identity and Access Management (IAM) yang ditetapkan ke brankas kunci. Jika tidak, ia tidak akan dapat masuk dan akan gagal dengan hak yang tidak mencukupi untuk mengakses langganan. Grup Microsoft Entra dengan Identitas Terkelola mungkin memerlukan berjam-jam untuk menyegarkan token dan menjadi efektif. Lihat Batasan penggunaan identitas terkelola untuk otorisasi

Bagaimana cara melakukan penyebaran ulang Key Vault dengan template ARM tanpa menghapus kebijakan akses yang ada?

Saat ini penyebaran ulang Key Vault menghapus kebijakan akses apa pun di Key Vault dan menggantinya dengan kebijakan akses dalam templat ARM. Tidak ada opsi bertahap untuk kebijakan akses Key Vault. Untuk mempertahankan kebijakan akses di Key Vault, Anda perlu membaca kebijakan akses yang ada di Key Vault dan mengisi templat ARM dengan kebijakan tersebut untuk menghindari pemadaman akses.

Opsi lain yang dapat membantu skenario ini adalah menggunakan Azure RBAC dan peran sebagai alternatif untuk mengakses kebijakan. Dengan Azure RBAC, Anda dapat menyebarkan ulang brankas kunci tanpa menentukan kebijakan lagi. Anda dapat membaca lebih lanjut solusi ini di sini.

Langkah-langkah pemecahan masalah yang disarankan untuk jenis kesalahan berikut

• HTTP 401: Permintaan Tidak Diautentikasi - Langkah pemecahan masalah
• HTTP 403: Izin Tidak Mencukupi - Langkah pemecahan masalah
• HTTP 429: Terlalu Banyak Permintaan - Langkah pemecahan masalah
• Periksa apakah Anda telah menghapus izin akses ke brankas kunci: Lihat Menetapkan kebijakan akses - CLI, Menetapkan kebijakan akses - PowerShell, atau Menetapkan kebijakan akses - Portal.
• Jika Anda memiliki masalah dengan autentikasi ke key vault dalam kode, gunakan SDK Autentikasi

Apa praktik terbaik yang harus saya terapkan ketika brankas kunci semakin dibatasi?

Ikuti praktik terbaik, yang didokumentasikan di sini

Langkah berikutnya

Pelajari cara memecahkan masalah kesalahan autentikasi brankas kunci: Panduan Pemecahan Masalah Key Vault.