Assegnare un criterio di accesso di Key Vault (legacy)

I criteri di accesso di Key Vault determinano se una determinata entità di sicurezza, vale a dire un utente, un'applicazione o un gruppo di utenti, può eseguire operazioni diverse su segreti, chiavi e certificati di Key Vault. È possibile assegnare criteri di accesso usando il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell.

Key Vault supporta fino a 1024 voci di criteri di accesso, con ogni voce che concede un set di autorizzazioni distinte a una particolare entità di sicurezza. A causa di questa limitazione, è consigliabile assegnare criteri di accesso a gruppi di utenti, laddove possibile, piuttosto che a singoli utenti. L'uso dei gruppi semplifica notevolmente la gestione delle autorizzazioni per più persone nell'organizzazione. Per altre informazioni, vedere Gestire l'accesso alle app e alle risorse usando i gruppi di Microsoft Entra

Azure portal

Assegnare un criterio di accesso

1. Nella portale di Azure passare alla risorsa Key Vault.

2. Selezionare Criteri di accesso e quindi Crea:

   

3. Selezionare le autorizzazioni desiderate in Autorizzazioni chiave, Autorizzazioni segrete e Autorizzazioni certificato.

   

4. Nel riquadro di selezione Entità immettere il nome dell'utente, dell'app o dell'entità servizio nel campo di ricerca e selezionare il risultato appropriato.

   

   Se si usa un'identità gestita per l'app, cercare e selezionare il nome dell'app stessa. Per altre informazioni sulle entità di sicurezza, vedere Autenticazione di Key Vault.

5. Esaminare le modifiche ai criteri di accesso e selezionare Crea per salvare i criteri di accesso.

   

6. Nella pagina Criteri di accesso verificare che i criteri di accesso siano elencati.

   

Interfaccia della riga di comando di Azure

Per altre informazioni sulla creazione di gruppi in Microsoft Entra ID con l'interfaccia della riga di comando di Azure, vedere az ad group create e az ad group member add.

Configurare l'interfaccia della riga di comando di Azure e accedere

1. Per eseguire i comandi dell'interfaccia della riga di comando di Azure in locale, installare l'interfaccia della riga di comando di Azure.

   Per eseguire i comandi direttamente nel cloud, usare Azure Cloud Shell.

2. Solo interfaccia della riga di comando locale: accedere ad Azure usando az login:

   az login
   

   Il comando apre una finestra del az login browser per raccogliere le credenziali, se necessario.

Acquisire l'ID oggetto

Determinare l'ID oggetto dell'applicazione, del gruppo o dell'utente a cui assegnare i criteri di accesso:

• Applicazioni e altre entità servizio: usare il comando az ad sp list per recuperare le entità servizio. Esaminare l'output del comando per determinare l'ID oggetto dell'entità di sicurezza a cui si desidera assegnare i criteri di accesso.

  az ad sp list --show-mine
  

• Gruppi: usare il comando az ad group list , filtrando i risultati con il --display-name parametro :

  az ad group list --display-name <search-string>
  

• Utenti: usare il comando az ad user show , passando l'indirizzo di posta elettronica dell'utente nel --id parametro :

  az ad user show --id <email-address-of-user>
  

Assegnare i criteri di accesso

Usare il comando az keyvault set-policy per assegnare le autorizzazioni desiderate:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

Sostituire <object-id> con l'ID oggetto dell'entità di sicurezza.

È necessario includere --secret-permissionssolo , --key-permissionse --certificate-permissions quando si assegnano autorizzazioni a tali tipi specifici. I valori consentiti per <secret-permissions>, <key-permissions>e <certificate-permissions> sono indicati nella documentazione az keyvault set-policy .

Azure PowerShell

Per altre informazioni sulla creazione di gruppi in Microsoft Entra ID con Azure PowerShell, vedere New-AzureADGroup e Add-AzADGroupMember.

Configurare PowerShell e l'accesso

1. Per eseguire i comandi in locale, installare Azure PowerShell , se non è già stato fatto.

   Per eseguire i comandi direttamente nel cloud, usare Azure Cloud Shell.

2. Solo PowerShell locale:

   1. Installare il modulo Azure Active Directory PowerShell.

   2. Accedere ad Azure:

      Connect-AzAccount
      

Acquisire l'ID oggetto

Determinare l'ID oggetto dell'applicazione, del gruppo o dell'utente a cui assegnare i criteri di accesso:

• Applicazioni e altre entità servizio: usare il cmdlet Get-AzADServicePrincipal con il -SearchString parametro per filtrare i risultati in base al nome dell'entità servizio desiderata:

  Get-AzADServicePrincipal -SearchString <search-string>
  

• Gruppi: usare il cmdlet Get-AzADGroup con il -SearchString parametro per filtrare i risultati in base al nome del gruppo desiderato:

  Get-AzADGroup -SearchString <search-string>
  

  Nell'output l'ID oggetto viene elencato come Id.

• Utenti: usare il cmdlet Get-AzADUser , passando l'indirizzo di posta elettronica dell'utente al -UserPrincipalName parametro .

   Get-AzAdUser -UserPrincipalName <email-address-of-user>
  

  Nell'output l'ID oggetto viene elencato come Id.

Assegnare i criteri di accesso

Usare il cmdlet Set-AzKeyVaultAccessPolicy per assegnare i criteri di accesso:

Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions    

È necessario includere -PermissionsToSecretssolo , -PermissionsToKeyse -PermissionsToCertificates quando si assegnano autorizzazioni a tali tipi specifici. I valori consentiti per <secret-permissions>, <key-permissions>e <certificate-permissions> vengono specificati nella documentazione Set-AzKeyVaultAccessPolicy - Parameters .

Passaggi successivi

• Sicurezza di Azure Key Vault
• Guida per gli sviluppatori per Azure Key Vault