Cmdlet Set-AzKeyVaultAccessPolicy memberikan atau memodifikasi izin yang ada untuk pengguna, aplikasi, atau grup keamanan untuk melakukan operasi yang ditentukan dengan brankas kunci. Ini tidak mengubah izin yang dimiliki pengguna, aplikasi, atau grup keamanan lain di brankas kunci.
Jika Anda mengatur izin untuk grup keamanan, operasi ini hanya memengaruhi pengguna dalam grup keamanan tersebut.
Direktori berikut harus sama Azure direktori:
Direktori default langganan Azure tempat brankas kunci berada.
Direktori Azure yang berisi pengguna atau grup aplikasi tempat Anda memberikan izin.
Contoh skenario ketika kondisi ini tidak terpenuhi dan cmdlet ini tidak akan berfungsi adalah:
Mengotorisasi pengguna dari organisasi lain untuk mengelola brankas kunci Anda.
Setiap organisasi memiliki direktorinya sendiri.
Akun Azure Anda memiliki beberapa direktori.
Jika Anda mendaftarkan aplikasi di direktori selain direktori default, Anda tidak dapat mengotorisasi aplikasi tersebut untuk menggunakan brankas kunci Anda.
Aplikasi harus berada di direktori default.
Perhatikan bahwa meskipun menentukan grup sumber daya bersifat opsional untuk cmdlet ini, Anda harus melakukannya untuk performa yang lebih baik.
Cmdlet dapat memanggil di bawah Microsoft Graph API sesuai dengan parameter input:
GET /directoryObjects/{id}
GET /users/{id}
GET /users
GET /servicePrincipals/{id}
GET /servicePrincipals
GET /groups/{id}
Nota
Saat menggunakan perwakilan layanan untuk memberikan izin kebijakan akses, Anda harus menggunakan -BypassObjectIdValidation parameter .
Contoh
Contoh 1: Memberikan izin kepada pengguna untuk brankas kunci dan mengubah izin
Set-AzKeyVaultAccessPolicy -VaultName 'Contoso03Vault' -UserPrincipalName 'PattiFuller@contoso.com' -PermissionsToKeys create,import,delete,list -PermissionsToSecrets set,delete -PassThru
Vault Name : Contoso03Vault
Resource Group Name : myrg
Location : westus
Resource ID : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myrg/providers
/Microsoft.KeyVault/vaults/contoso03vault
Vault URI : https://contoso03vault.vault.azure.net/
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
SKU : Standard
Enabled For Deployment? : True
Enabled For Template Deployment? : False
Enabled For Disk Encryption? : False
Soft Delete Enabled? : True
Access Policies :
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Object ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Application ID :
Display Name : User Name (username@microsoft.com)
Permissions to Keys : create, import, delete, list
Permissions to Secrets : set, delete
Permissions to Certificates :
Permissions to (Key Vault Managed) Storage :
Tags :
Set-AzKeyVaultAccessPolicy -VaultName 'Contoso03Vault' -UserPrincipalName 'PattiFuller@contoso.com' -PermissionsToSecrets set,delete,get -PassThru
Vault Name : Contoso03Vault
Resource Group Name : myrg
Location : westus
Resource ID : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myrg/providers
/Microsoft.KeyVault/vaults/contoso03vault
Vault URI : https://contoso03vault.vault.azure.net/
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
SKU : Standard
Enabled For Deployment? : True
Enabled For Template Deployment? : False
Enabled For Disk Encryption? : False
Soft Delete Enabled? : True
Access Policies :
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Object ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Application ID :
Display Name : User Name (username@microsoft.com)
Permissions to Keys : create, import, delete, list
Permissions to Secrets : set, delete, get
Permissions to Certificates :
Permissions to (Key Vault Managed) Storage :
Tags :
Set-AzKeyVaultAccessPolicy -VaultName 'Contoso03Vault' -UserPrincipalName 'PattiFuller@contoso.com' -PermissionsToKeys @() -PassThru
Vault Name : Contoso03Vault
Resource Group Name : myrg
Location : westus
Resource ID : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/myrg/providers
/Microsoft.KeyVault/vaults/contoso03vault
Vault URI : https://contoso03vault.vault.azure.net/
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
SKU : Standard
Enabled For Deployment? : True
Enabled For Template Deployment? : False
Enabled For Disk Encryption? : False
Soft Delete Enabled? : True
Access Policies :
Tenant ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Object ID : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx
Application ID :
Display Name : User Name (username@microsoft.com)
Permissions to Keys :
Permissions to Secrets : set, delete, get
Permissions to Certificates :
Permissions to (Key Vault Managed) Storage :
Tags :
Perintah pertama memberikan izin bagi pengguna di Microsoft Entra ID Anda, PattiFuller@contoso.com, untuk melakukan operasi pada kunci dan rahasia dengan brankas kunci bernama Contoso03Vault. Parameter PassThru menghasilkan objek yang diperbarui yang dikembalikan oleh cmdlet.
Perintah kedua memodifikasi izin yang diberikan pada PattiFuller@contoso.com perintah pertama, untuk sekarang memungkinkan mendapatkan rahasia selain mengatur dan menghapusnya. Izin untuk operasi kunci tetap tidak berubah setelah perintah ini.
Perintah akhir selanjutnya memodifikasi izin yang ada untuk PattiFuller@contoso.com menghapus semua izin ke operasi kunci. Izin untuk operasi rahasia tetap tidak berubah setelah perintah ini.
Contoh 2: Memberikan izin bagi perwakilan layanan aplikasi untuk membaca dan menulis rahasia
Perintah ini memberikan izin untuk aplikasi untuk brankas kunci bernama Contoso03Vault.
Parameter ServicePrincipalName menentukan aplikasi. Aplikasi harus terdaftar di Microsoft Entra ID Anda. Nilai parameter ServicePrincipalName harus berupa nama perwakilan layanan aplikasi atau GUID ID aplikasi.
Contoh ini menentukan nama http://payroll.contoso.comperwakilan layanan , dan perintah memberikan izin aplikasi untuk membaca dan menulis rahasia.
Contoh 3: Memberikan izin untuk aplikasi menggunakan ID objeknya
Perintah ini memberikan izin aplikasi untuk membaca dan menulis rahasia.
Contoh ini menentukan aplikasi menggunakan ID objek dari perwakilan layanan aplikasi.
Contoh 4: Memberikan izin untuk nama prinsipal pengguna
Perintah ini memberikan izin untuk rahasia yang akan diambil dari brankas kunci Contoso03Vault oleh Microsoft. Penyedia sumber daya komputasi.
Contoh 6: Memberikan izin ke grup keamanan
Get-AzADGroup
Set-AzKeyVaultAccessPolicy -VaultName 'myownvault' -ObjectId (Get-AzADGroup -SearchString 'group2')[0].Id -PermissionsToKeys get, set -PermissionsToSecrets get, set
Perintah pertama menggunakan cmdlet Get-AzADGroup untuk mendapatkan semua grup Direktori Aktif. Dari output, Anda akan melihat 3 grup yang dikembalikan, bernama group1, group2, dan group3. Beberapa grup dapat memiliki nama yang sama tetapi selalu memiliki ObjectId yang unik. Ketika lebih dari satu grup yang memiliki nama yang sama dikembalikan, gunakan ObjectId dalam output untuk mengidentifikasi grup yang ingin Anda gunakan.
Anda kemudian menggunakan output perintah ini dengan Set-AzKeyVaultAccessPolicy untuk memberikan izin ke grup2 untuk brankas kunci Anda, bernama myownvault. Contoh ini menghitung grup bernama 'group2' sebaris di baris perintah yang sama.
Mungkin ada beberapa grup dalam daftar yang dikembalikan yang bernama 'group2'.
Contoh ini memilih yang pertama, yang ditunjukkan oleh indeks [0] dalam daftar yang dikembalikan.
Contoh 7: Memberikan akses Perlindungan Informasi Azure ke kunci penyewa yang dikelola pelanggan (BYOK)
Perintah ini mengotorisasi Perlindungan Informasi Azure untuk menggunakan kunci yang dikelola pelanggan (skenario bring your own key, atau "BYOK"), sebagai kunci penyewa Perlindungan Informasi Azure.
Saat Anda menjalankan perintah ini, tentukan nama brankas kunci Anda sendiri tetapi Anda harus menentukan parameter ServicePrincipalName dan menentukan izin dalam contoh.
Memungkinkan Anda menentukan ID objek tanpa memvalidasi bahwa objek ada di Microsoft Entra ID.
Gunakan parameter ini hanya jika Anda ingin memberikan akses ke brankas kunci Anda ke ID objek yang mengacu pada grup keamanan yang didelegasikan dari penyewa Azure lain.
Menentukan alamat email pengguna yang akan diberikan izin kepada pengguna.
Alamat email ini harus ada di direktori yang terkait dengan langganan saat ini dan unik.
Mengaktifkan Microsoft. Penyedia sumber daya komputasi untuk mengambil rahasia dari brankas kunci ini ketika brankas kunci ini direferensikan dalam pembuatan sumber daya, misalnya saat membuat komputer virtual.
Menentukan array izin sertifikat untuk diberikan kepada pengguna atau perwakilan layanan.
'Semua' akan memberikan semua izin kecuali 'Hapus Menyeluruh' Nilai yang dapat diterima untuk parameter ini:
Menentukan array izin operasi kunci untuk diberikan kepada pengguna atau perwakilan layanan.
'Semua' akan memberikan semua izin kecuali 'Hapus Menyeluruh' Nilai yang dapat diterima untuk parameter ini:
Menentukan array izin operasi rahasia untuk diberikan kepada pengguna atau perwakilan layanan.
'Semua' akan memberikan semua izin kecuali 'Hapus Menyeluruh' Nilai yang dapat diterima untuk parameter ini:
Menentukan izin operasi akun penyimpanan terkelola dan definisi SaS untuk diberikan kepada pengguna atau perwakilan layanan.
'Semua' akan memberikan semua izin kecuali 'Hapus Menyeluruh' Nilai yang dapat diterima untuk parameter ini:
Menentukan nama perwakilan layanan aplikasi untuk memberikan izin.
Tentukan ID aplikasi, juga dikenal sebagai ID klien, terdaftar untuk aplikasi di Microsoft Entra ID. Aplikasi dengan nama perwakilan layanan yang ditentukan parameter ini harus terdaftar di direktori Azure yang berisi langganan Anda saat ini.
ID langganan.
Secara default, cmdlet dijalankan dalam langganan yang diatur dalam konteks saat ini. Jika pengguna menentukan langganan lain, cmdlet saat ini dijalankan dalam langganan yang ditentukan oleh pengguna.
Mengesampingkan langganan hanya berlaku selama siklus hidup cmdlet saat ini. Ini tidak mengubah langganan dalam konteks, dan tidak memengaruhi cmdlet berikutnya.
Menentukan nama utama pengguna yang akan diberikan izin kepada pengguna.
Nama prinsipal pengguna ini harus ada di direktori yang terkait dengan langganan saat ini.
Cmdlet ini mendukung parameter umum: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction, dan -WarningVariable. Untuk informasi selengkapnya, lihat about_CommonParameters.
Sumber untuk konten ini dapat ditemukan di GitHub, yang juga dapat Anda gunakan untuk membuat dan meninjau masalah dan menarik permintaan. Untuk informasi selengkapnya, lihat panduan kontributor kami.
