Бөлісу құралы:


Назначение политики доступа Key Vault (устаревшая версия)

Внимание

При использовании модели разрешений политики доступа пользователь с ContributorKey Vault Contributorлюбой другой ролью, включающей Microsoft.KeyVault/vaults/write разрешения для плоскости управления хранилища ключей, может предоставить себе доступ к плоскости данных, задав политику доступа Key Vault. Чтобы предотвратить несанкционированный доступ и управление хранилищами ключей, ключами, секретами и сертификатами, необходимо ограничить доступ роли участника к хранилищам ключей в модели разрешений политики доступа. Чтобы устранить этот риск, рекомендуется использовать модель разрешений на основе ролей контроль доступа (RBAC), которая ограничивает управление разрешениями ролями "Владелец" и "Администратор доступа пользователей", что позволяет четко разделить операции безопасности и административные обязанности. Дополнительные сведения см. в руководстве по RBAC Key Vault и что такое Azure RBAC?

Политика доступа Key Vault определяет, может ли данный субъект безопасности, а именно пользователь, приложение или группа пользователей, выполнять различные операции с секретами, ключами и сертификатами Key Vault. Политики доступа можно назначать с помощью портала Azure, Azure CLI или Azure PowerShell.

Хранилище ключей поддерживает до 1024 политик доступа, при этом каждая запись предоставляет отдельный набор разрешений для определенного субъекта безопасности. Из-за этого ограничения рекомендуется назначать политики доступа группам пользователей там, где это возможно, а не отдельным пользователям. Использование групп значительно упрощает управление разрешениями для нескольких пользователей в организации. Дополнительные сведения см. в разделе "Управление доступом к приложениям и ресурсам" с помощью групп Microsoft Entra.

Назначение политики доступа

  1. На портале Azure перейдите к ресурсу Key Vault.

  2. Выберите политики доступа, а затем нажмите кнопку "Создать".

                  Выберите

  3. Выберите необходимые разрешения в разделе "Разрешения ключа", "Разрешения секрета" и "Сертификаты".

                  Указание разрешений политики доступа

  4. В области выбора субъекта введите имя пользователя, приложения или субъекта-службы в поле поиска и выберите соответствующий результат.

                  Выбор субъекта безопасности для политики доступа

    Если вы используете для приложения управляемое удостоверение, найдите и выберите имя приложения. (Дополнительные сведения о субъектах безопасности см. в разделе Проверка подлинности с помощью Key Vault.

  5. Просмотрите изменения политики доступа и нажмите кнопку "Создать ", чтобы сохранить политику доступа.

                  Добавление политики доступа с назначенным субъектом безопасности

  6. Вернитесь на страницу политик доступа, убедитесь, что указана политика доступа.

                  Сохранение изменений в политиках доступа

Следующие шаги