Assegnare un criterio di accesso di Key Vault (legacy)
Articolo
Un criterio di accesso di Key Vault determina se un'entità di sicurezza specificata, ovvero un utente, un'applicazione o un gruppo di utenti, può eseguire diverse operazioni su chiavi, segreti o certificati di Key Vault. È possibile assegnare criteri di accesso usando il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell.
Key Vault supporta fino a 1024 voci di criteri di accesso, con ogni voce che concede un set di autorizzazioni distinte a una particolare entità di sicurezza. A causa di questa limitazione, è consigliabile assegnare criteri di accesso a gruppi di utenti, laddove possibile, piuttosto che a singoli utenti. L'uso dei gruppi semplifica notevolmente la gestione delle autorizzazioni per più persone nell'organizzazione. Per altre informazioni, vedere Gestire l'accesso alle app e alle risorse tramite i gruppi di Microsoft Entra
Selezionare Criteri di accesso e quindi selezionare Crea:
Selezionare le autorizzazioni desiderate in Autorizzazioni delle chiavi, Autorizzazioni dei segreti e Autorizzazioni del certificato.
Nel riquadro di selezione Entità di sicurezza immettere il nome dell'utente, dell'app o dell'entità servizio nel campo di ricerca e selezionare il risultato appropriato.
Se si usa un'identità gestita per l'app, cercare e selezionare il nome dell'app stessa. Per altre informazioni sulle entità di sicurezza, vedere Autenticazione di Key Vault.
Esaminare le modifiche al criterio di accesso e selezionare Crea per salvarlo.
Tornando alla pagina Criteri di accesso, verificare che il criterio di accesso sia elencato.
Per altre informazioni sulla creazione di gruppi in Microsoft Entra ID mediante l'interfaccia della riga di comando di Azure, vedere az ad group create e az ad group member add.
Configurare l'interfaccia della riga di comando di Azure e accedere
Per eseguire i comandi direttamente nel cloud, usare Azure Cloud Shell.
Solo interfaccia della riga di comando locale: accedere ad Azure usando az login:
az login
Il comando az login apre una finestra del browser per raccogliere le credenziali, se necessario.
Acquisire l'ID oggetto
Determinare l'ID oggetto dell'applicazione, del gruppo o dell'utente a cui assegnare il criterio di accesso:
Applicazioni e altre entità servizio: usare il comando az ad sp list per recuperare le entità servizio. Esaminare l'output del comando per determinare l'ID oggetto dell'entità di sicurezza a cui assegnare il criterio di accesso.
az ad sp list --show-mine
Gruppi: usare il comando az ad group list, filtrando i risultati con il parametro --display-name:
az ad group list --display-name <search-string>
Utenti: usare il comando az ad user show, passando l'indirizzo e-mail dell'utente nel parametro --id:
Sostituire <object-id> con l'ID oggetto dell'entità di sicurezza.
Quando si assegnano autorizzazioni a questi tipi specifici, è necessario includere solo --secret-permissions, --key-permissions e --certificate-permissions. I valori consentiti per <secret-permissions>, <key-permissions>e <certificate-permissions> sono indicati nella documentazione di az keyvault set-policy.
Per altre informazioni sulla creazione di gruppi in Microsoft Entra ID con Azure PowerShell, vedere New-AzADGroup e Add-AzADGroupMember.
Configurare PowerShell e accedere
Per eseguire i comandi in locale, installare Azure PowerShell se non è già stato fatto.
Per eseguire i comandi direttamente nel cloud, usare Azure Cloud Shell.
Determinare l'ID oggetto dell'applicazione, del gruppo o dell'utente a cui assegnare il criterio di accesso:
Applicazioni e altre entità servizio: usare il cmdlet Get-AzADServicePrincipal con il parametro -SearchString per filtrare i risultati in base al nome dell'entità servizio desiderata:
Quando si assegnano autorizzazioni a questi tipi specifici, è necessario includere solo -PermissionsToSecrets, -PermissionsToKeys e -PermissionsToCertificates. I valori consentiti per <secret-permissions>, <key-permissions>e <certificate-permissions> sono indicati nella documentazione di Set-AzKeyVaultAccessPolicy in Parametri.