Назначение политики доступа Key Vault (устаревшая версия)
Мақала
Внимание
При использовании модели разрешений политики доступа пользователь с ContributorKey Vault Contributorлюбой другой ролью, включающей Microsoft.KeyVault/vaults/write разрешения для плоскости управления хранилища ключей, может предоставить себе доступ к плоскости данных, задав политику доступа Key Vault. Чтобы предотвратить несанкционированный доступ и управление хранилищами ключей, ключами, секретами и сертификатами, необходимо ограничить доступ роли участника к хранилищам ключей в модели разрешений политики доступа. Чтобы устранить этот риск, рекомендуется использовать модель разрешений на основе ролей контроль доступа (RBAC), которая ограничивает управление разрешениями ролями "Владелец" и "Администратор доступа пользователей", что позволяет четко разделить операции безопасности и административные обязанности. Дополнительные сведения см. в руководстве по RBAC Key Vault и что такое Azure RBAC?
Политика доступа Key Vault определяет, может ли данный субъект безопасности, а именно пользователь, приложение или группа пользователей, выполнять различные операции с секретами, ключами и сертификатами Key Vault. Политики доступа можно назначать с помощью портала Azure, Azure CLI или Azure PowerShell.
Хранилище ключей поддерживает до 1024 политик доступа, при этом каждая запись предоставляет отдельный набор разрешений для определенного субъекта безопасности. Из-за этого ограничения рекомендуется назначать политики доступа группам пользователей там, где это возможно, а не отдельным пользователям. Использование групп значительно упрощает управление разрешениями для нескольких пользователей в организации. Дополнительные сведения см. в разделе "Управление доступом к приложениям и ресурсам" с помощью групп Microsoft Entra.
Выберите политики доступа, а затем нажмите кнопку "Создать".
Выберите необходимые разрешения в разделе "Разрешения ключа", "Разрешения секрета" и "Сертификаты".
В области выбора субъекта введите имя пользователя, приложения или субъекта-службы в поле поиска и выберите соответствующий результат.
Если вы используете для приложения управляемое удостоверение, найдите и выберите имя приложения. (Дополнительные сведения о субъектах безопасности см. в разделе Проверка подлинности с помощью Key Vault.
Просмотрите изменения политики доступа и нажмите кнопку "Создать ", чтобы сохранить политику доступа.
Вернитесь на страницу политик доступа, убедитесь, что указана политика доступа.
Для локального выполнения команд Azure CLI установите Azure CLI.
Для выполнения команд непосредственно в облаке используйте Azure Cloud Shell.
Только локальный CLI — войдите в Azure с помощью az login:
az login
При необходимости команда az login открывает окно браузера для ввода учетных данных.
Получение идентификатора объекта
Определите идентификатор объекта приложения, группы или пользователя, которому необходимо назначить политику доступа:
Приложения и другие субъекты-службы: для получения субъектов-служб используйте команду az ad sp list. Проверьте выходные данные команды, чтобы определить идентификатор объекта субъекта безопасности, которому необходимо назначить политику доступа.
az ad sp list --show-mine
Группы. Используйте команду az ad group list, чтобы отфильтровать результаты с помощью параметра --display-name:
az ad group list --display-name <search-string>
Пользователи. Используйте команду az ad user show, передающую адрес электронной почты пользователя в параметр --id:
Замените <object-id> идентификатором объекта субъекта безопасности.
При назначении разрешений для этих конкретных типов необходимо включить только --secret-permissions, --key-permissions и --certificate-permissions. Допустимые значения для <secret-permissions>, <key-permissions> и <certificate-permissions> приведены в документации az keyvault set-policy.
Дополнительные сведения о создании групп в идентификаторе Microsoft Entra с помощью Azure PowerShell см. в статье New-AzADGroup и Add-AzADGroupMember.
Настройка PowerShell и вход
Для локального выполнения команд установите Azure PowerShell, если еще не сделали этого.
Для выполнения команд непосредственно в облаке используйте Azure Cloud Shell.
Определите идентификатор объекта приложения, группы или пользователя, которому необходимо назначить политику доступа:
Приложения и другие субъекты-службы: используйте командлет Get-AzADServicePrincipal с параметром -SearchString, чтобы отфильтровать результаты по имени нужного субъекта-службы:
При назначении разрешений для этих конкретных типов необходимо включить только -PermissionsToSecrets, -PermissionsToKeys и -PermissionsToCertificates. Допустимые значения для <secret-permissions>, <key-permissions> и <certificate-permissions> приведены в документе Set-AzKeyVaultAccessPolicy - Parameters.