よく寄せられる質問
シークレット/キー/証明書を一覧表示または取得できません。 "問題が発生しました" というエラーが表示される
シークレットの一覧表示、取得、作成、またはアクセスに問題がある場合は、その操作を行うためにアクセス ポリシーが定義されていることを確認します。 Key Vault アクセス ポリシー
キー コンテナーが、いつ、どのようにアクセスされているのかを確認するにはどうすればよいですか?
1つ以上のキー保管庫を作成した後は、次に誰が、いつどのようにキー保管庫にアクセスするかを監視したくなるでしょう。 Azure Key Vault のログ記録を有効にすることで監視を実行できます。詳細については、ログ記録を有効にするステップ バイ ステップ ガイドを 参照してください。
キー ボールトの可用性、サービスのレイテンシー期間、その他のパフォーマンス メトリックを監視するにはどうすればよいですか?
サービスのスケーリングを開始すると、キー コンテナーに送信される要求の数が増加します。 このような需要により要求の待機時間が長くなる可能性があり、極端な場合には要求がスロットルされてサービスのパフォーマンスを低下させます。 Key Vault のパフォーマンス メトリックを監視し、特定のしきい値についてアラートを受け取ることができます。監視を構成するためのステップ バイ ステップ ガイドについては、 詳細を参照してください。
アクセス ポリシーを変更できませんが、どのように有効にできますか?
ユーザーは、アクセス ポリシーを変更するための十分な Microsoft Entra アクセス許可を持っている必要があります。 この場合、ユーザーは、より高い共同作成者ロールを持っている必要があります。
"不明なポリシー" エラーが表示されます。 それは何を意味していますか?
[不明] セクションにアクセス ポリシーが表示される理由は 2 つあります。
- 以前のユーザーはアクセス権を持っていましたが、そのユーザーは存在しなくなりました。
- アクセス ポリシーが、サービス プリンシパルではなくアプリケーションの objectid を使って、PowerShell で追加されました。
キー コンテナー オブジェクトごとにアクセス制御を割り当てるにはどうすればよいですか?
個々のキー、シークレット、証明書にロールを割り当てることは避ける必要があります。 一般的なガイダンスの例外:
個々のシークレットを複数のアプリケーション間で共有する必要があるシナリオ (たとえば、1 つのアプリケーションが他のアプリケーションからデータにアクセスする必要がある)
アクセス制御ポリシーを使用して Key Vault の認証を提供するにはどうすればよいですか?
Key Vault に対してクラウドベースのアプリケーションを認証する最も簡単な方法は、マネージド ID を使用することです。詳細については、「 Azure Key Vault に対する認証 」を参照してください。 オンプレミスアプリケーションを作成する場合、ローカル開発を行う場合、またはマネージド ID を使用できない場合は、代わりにサービス プリンシパルを手動で登録し、アクセス制御ポリシーを使用してキー コンテナーへのアクセスを提供できます。 アクセス制御ポリシーの割り当てを参照してください。
キー コンテナーへのアクセス権を AD グループに付与するにはどうすればよいですか?
Azure CLI az keyvault set-policy コマンドまたは Azure PowerShell Set-AzKeyVaultAccessPolicy コマンドレットを使用して、キー コンテナーに AD グループのアクセス許可を付与します。 アクセス ポリシーの割り当て - CLI とアクセス ポリシーの割り当て - PowerShell を参照してください。
アプリケーションには、少なくとも 1 つの IAM (ID とアクセス管理) ロールがキーボールトに割り当てられている必要があります。 それがないとログインすることができず、サブスクリプションにアクセスする権限の不足でエラーになります。 マネージド ID を持つ Microsoft Entra グループでは、トークンを更新して有効になるまでに何時間もかかる場合があります。 承認にマネージド ID を使用する制限事項を参照してください
既存のアクセス ポリシーを削除せずに ARM テンプレートを使用して Key Vault を再デプロイするにはどうすればよいですか?
現在、Key Vault の再デプロイでは、Key Vault 内のすべてのアクセス ポリシーが削除され、ARM テンプレートのアクセス ポリシーに置き換えられます。 Key Vault アクセス ポリシーには増分オプションはありません。 Key Vault でアクセス ポリシーを保持するには、Key Vault 内の既存のアクセス ポリシーを読み取り、アクセス停止を回避するために ARM テンプレートにこれらのポリシーを設定する必要があります。
このシナリオに役立つもう 1 つのオプションは、アクセス ポリシーの代わりに Azure RBAC とロールを使用することです。 Azure RBAC を使用すると、ポリシーを再度指定せずにキー コンテナーを再デプロイできます。 このソリューションの詳細 については、こちらを参照してください。
次のエラーの種類に関する推奨されるトラブルシューティング手順
- HTTP 401: 認証されていない要求 - トラブルシューティングの手順
- HTTP 403: アクセス許可が不十分 - トラブルシューティングの手順
- HTTP 429: 要求が多すぎます - トラブルシューティングの手順
- キー ボールトへの削除のアクセス権限があるかどうかを確認してください。アクセス ポリシーの割り当て - CLI、アクセス ポリシーの割り当て - PowerShell、またはアクセス ポリシーの割り当て - ポータルを参照してください。
- コードでキー コンテナーへの認証に問題がある場合は認証 SDK を使用してください
キー コンテナーが調整されているときに実装する必要があるベスト プラクティスは何ですか?
ここに記載されているベスト プラクティスに従う
次のステップ
Key Vault 認証エラーのトラブルシューティング方法について説明します。 Key Vault トラブルシューティング ガイド。