Key Vault アクセス ポリシーを割り当てる (レガシ)
重要
アクセス ポリシーの権限モデルを使用する場合、Contributor
、Key Vault Contributor
、または、キー コンテナー管理プレーンの Microsoft.KeyVault/vaults/write
権限を含むその他のロールを持つユーザーは、Key Vault アクセス ポリシーを設定することで、自分自身にデータ プレーン アクセスを付与できます。 キー コンテナー、キー、シークレット、証明書への不正なアクセスと管理を防ぐには、アクセス ポリシーの権限モデルで、投稿者ロールのアクセスをキー コンテナーに制限することが不可欠です。 このリスクを軽減するために、ロールベースのアクセス制御 (RBAC) の権限モデルを使用することをお勧めします。これにより、権限管理を「所有者」ロールと「ユーザー アクセス管理者」ロールに制限し、セキュリティ オペレーションと管理業務を明確に分離できます。 詳細については、「Key Vault の RBAC ガイド」および「Azure RBAC とは」を参照してください。
Key Vault アクセス ポリシーは、特定のセキュリティ プリンシパル (ユーザー、アプリケーション、またはユーザー グループ) が、Key Vault のシークレット、キー、および証明書に対して、さまざまな操作を実行できるかどうかを決定します。 アクセス ポリシーは、Azure portal、Azure CLI、または Azure PowerShell を使用して割り当てることができます。
キー コンテナーでは、最大 1,024 個のアクセス ポリシー エントリがサポートされており、各エントリでは、特定のセキュリティ プリンシパルに個別のアクセス許可セットを付与します。 このような制限があるため、可能な場合は、アクセス ポリシーを個別のユーザーではなく、ユーザーのグループに割り当てることをお勧めします。 グループを使用すると、組織内の複数のユーザーに対するアクセス許可を管理しやすくなります。 詳細については、Microsoft Entra グループを使用してアプリとリソースへのアクセスを管理するを参照してください。
Microsoft Entra ID での Azure CLI を使ったグループの作成の詳細については、az ad group create および az ad group member add に関する記事を参照してください。
Azure CLI コマンドをローカルで実行するには、Azure CLI をインストールします。
コマンドをクラウドで直接実行するには、Azure Cloud Shell を使用します。
ローカル CLI のみ:
az login
を使用して Azure にサインインします。az login
az login
コマンドを実行すると、必要に応じて、資格情報を収集するためのブラウザー ウィンドウが開きます。
アクセス ポリシーの割り当て先となるアプリケーション、グループ、またはユーザーのオブジェクト ID を決定します。
アプリケーションとその他のサービス プリンシパル: az ad sp list コマンドを使用して、サービス プリンシパルを取得します。 コマンドの出力を調べて、アクセス ポリシーの割り当て先となるセキュリティ プリンシパルのオブジェクト ID を決定します。
az ad sp list --show-mine
グループ: az ad group list コマンドを使用して、
--display-name
パラメーターを使用し、結果をフィルター処理します。az ad group list --display-name <search-string>
ユーザー: az ad user show コマンドを使用して、ユーザーの電子メール アドレスを
--id
パラメーターに渡します。az ad user show --id <email-address-of-user>
az keyvault set-policy コマンドを使用して、必要なアクセス許可を割り当てます。
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>
<object-id>
を、お使いのセキュリティ プリンシパルのオブジェクト ID に置き換えます。
これらの特定の種類にアクセス許可を割り当てるときに含める必要があるのは、--secret-permissions
、--key-permissions
、--certificate-permissions
のみです。 <secret-permissions>
、<key-permissions>
、<certificate-permissions>
に使用できる値は、az keyvault set-policy ドキュメントに記載されています。