Risoluzione dei problemi relativi ai criteri di accesso di Azure Key Vault

  • Articolo

Domande frequenti

Non è possibile elencare o ottenere segreti/chiavi/certificati. Viene visualizzato un messaggio di errore "Si è verificato un errore"

Se si verificano problemi con l'elenco, il recupero, la creazione o l'accesso a un segreto, assicurarsi di disporre di criteri di accesso definiti per eseguire tale operazione: Criteri di accesso di Key Vault

In che modo è possibile identificare le tempistiche e le modalità di accesso agli insiemi di credenziali delle chiavi?

Dopo aver creato una o più insiemi di credenziali delle chiavi, può essere utile monitorare come, quando e da chi vengono usate. È possibile eseguire il monitoraggio abilitando la registrazione per Azure Key Vault. Per una guida dettagliata per abilitare la registrazione, leggere altre informazioni.

Come è possibile monitorare la disponibilità, i periodi di latenza del servizio o altre metriche delle prestazioni per l'insieme di credenziali?

Quando si inizia a ridimensionare il servizio, il numero di richieste inviate all'insieme di credenziali delle chiavi aumenta. Con questa domanda può aumentare anche la latenza delle richieste e, in casi estremi, le richieste possono venire limitate, con una riduzione delle prestazioni del servizio. È possibile monitorare le metriche delle prestazioni dell'insieme di credenziali delle chiavi e ricevere avvisi per soglie specifiche. Per una guida dettagliata per configurare il monitoraggio, leggere altre informazioni.

Non si riesce a modificare i criteri di accesso. Che cosa bisogna fare per abilitarla?

Per modificare i criteri di accesso, l'utente deve avere autorizzazioni Microsoft Entra sufficienti. In questo caso l'utente deve avere il ruolo di collaboratore di livello superiore.

Viene visualizzato l'errore “Criteri sconosciuti”. Cosa significa?

Esistono due motivi per cui è possibile visualizzare un criterio di accesso nella sezione Sconosciuto:

  • Un utente precedente aveva accesso, ma tale utente non esiste più.
  • I criteri di accesso sono stati aggiunti tramite PowerShell, usando l'objectid dell'applicazione anziché l'entità servizio.

In che modo è possibile assegnare il controllo di accesso per ogni oggetto dell'insieme di credenziali delle chiavi?

È consigliabile evitare l'assegnazione di ruoli su singole chiavi, segreti e certificati. Eccezioni alle indicazioni generali:

Scenari in cui i singoli segreti devono essere condivisi tra più applicazioni, ad esempio un'applicazione deve accedere ai dati dall'altra applicazione

In che modo è possibile fornire l'autenticazione dell'insieme di credenziali delle chiavi usando criteri di controllo di accesso?

Il modo più semplice per autenticare un'applicazione basata sul cloud in Key Vault consiste nell'usare un'identità gestita. Per informazioni dettagliate, vedere Eseguire l'autenticazione con Azure Key Vault. Se si crea un'applicazione locale, si sviluppa in locale o se non è possibile usare un'identità gestita per altri motivi, si può provare a registrare manualmente un'entità servizio e fornire l'accesso all'insieme di credenziali delle chiavi usando un criterio di controllo di accesso. Vedere Assegnare un criterio di controllo di accesso.

Come è possibile concedere al gruppo di AD l'accesso all'insieme di credenziali delle chiavi?

Concedere al gruppo di AD le autorizzazioni per l'insieme di credenziali delle chiavi usando il comando az keyvault set-policy dell'interfaccia della riga di comando di Azure o il cmdlet Set-AzKeyVaultAccessPolicy di Azure PowerShell. Vedere Assegnare un criterio di accesso - Interfaccia della riga di comando e Assegnare un criterio di accesso - PowerShell.

L'applicazione necessita anche che sia assegnato almeno un ruolo di gestione delle identità e degli accessi (IAM) all'insieme di credenziali delle chiavi. In caso contrario, non potrà eseguire l'accesso e l'accesso alla sottoscrizione non riuscirà a causa di diritti insufficienti. I gruppi di Microsoft Entra con identità gestite possono richiedere molte ore per aggiornare i token e diventare efficaci. Vedere Limitazione dell'uso di identità gestite per l'autorizzazione

In che modo è possibile ridistribuire Key Vault con un modello di Azure Resource Manager senza eliminare i criteri di accesso esistenti?

Attualmente, la ridistribuzione di Key Vault comporta l'eliminazione degli eventuali criteri di accesso in Key Vault, che vengono sostituiti con quelli nel modello di Azure Resource Manager. Non è disponibile alcuna opzione incrementale per i criteri di accesso di Key Vault. Per mantenere i criteri di accesso in Key Vault, è necessario leggere i criteri di accesso esistenti in Key Vault e usarli per popolare il modello di Azure Resource Manager per evitare interruzioni dell'accesso.

Un'altra opzione che può essere utile per questo scenario consiste nell'usare il controllo degli accessi in base al ruolo di Azure e i ruoli come alternativa ai criteri di accesso. Con il controllo degli accessi in base al ruolo di Azure è possibile ridistribuire l'insieme di credenziali delle chiavi senza specificare di nuovo il criterio. Altre informazioni su questa soluzione sono disponibili qui.

Quali sono le procedure consigliate da implementare in caso di limitazione dell'insieme di credenziali delle chiavi?

Seguire le procedure consigliate illustrate qui

Passaggi successivi

Informazioni su come risolvere gli errori di autenticazione dell'insieme di credenziali delle chiavi: Guida alla risoluzione dei problemi di Key Vault.