Een Key Vault-toegangsbeleid toewijzen

Een Key Vault toegangsbeleid bepaalt of een bepaalde beveiligingsprincipal, namelijk een gebruiker, toepassing of gebruikersgroep, verschillende bewerkingen kan uitvoeren op Key Vault geheimen, sleutels en certificaten. U kunt toegangsbeleid toewijzen met behulp van de Azure Portal, de Azure CLI of Azure PowerShell.

Key Vault ondersteunt maximaal 1024 toegangsbeleidsvermeldingen, waarbij elke vermelding een afzonderlijke set machtigingen verleent aan een bepaalde beveiligingsprincipal. Vanwege deze beperking raden we u aan toegangsbeleid toe te wijzen aan groepen gebruikers, waar mogelijk, in plaats van afzonderlijke gebruikers. Het gebruik van groepen maakt het veel eenvoudiger om machtigingen voor meerdere personen in uw organisatie te beheren. Zie Toegang tot apps en resources beheren met Behulp van Azure Active Directory-groepen voor meer informatie

Azure-portal

Een toegangsbeleid toewijzen

1. Navigeer in de Azure Portal naar de resource Key Vault.

2. Selecteer Toegangsbeleid en selecteer vervolgens Maken:

   

3. Selecteer de gewenste machtigingen onder Sleutelmachtigingen, Geheime machtigingen en Certificaatmachtigingen.

   

4. Voer in het selectiedeelvenster Principal de naam van de gebruiker, app of service-principal in het zoekveld in en selecteer het juiste resultaat.

   

   Als u een beheerde identiteit voor de app gebruikt, zoekt en selecteert u de naam van de app zelf. (Zie Key Vault verificatie voor meer informatie over beveiligingsprincipals.

5. Controleer de wijzigingen in het toegangsbeleid en selecteer Maken om het toegangsbeleid op te slaan.

   

6. Ga terug naar de pagina Toegangsbeleid en controleer of uw toegangsbeleid wordt vermeld.

   

Azure-CLI

Zie az ad group create en az ad group member add voor meer informatie over het maken van groepen in Azure Active Directory met behulp van de Azure CLI.

De Azure CLI configureren en aanmelden

1. Als u Azure CLI-opdrachten lokaal wilt uitvoeren, installeert u de Azure CLI.

   Als u opdrachten rechtstreeks in de cloud wilt uitvoeren, gebruikt u de Azure Cloud Shell.

2. Alleen lokale CLI: meld u aan bij Azure met behulp van az login:

   az login
   

   Met de az login opdracht wordt een browservenster geopend om referenties te verzamelen, indien nodig.

De object-id verkrijgen

Bepaal de object-id van de toepassing, groep of gebruiker waaraan u het toegangsbeleid wilt toewijzen:

• Toepassingen en andere service-principals: gebruik de opdracht az ad sp list om uw service-principals op te halen. Bekijk de uitvoer van de opdracht om de object-id te bepalen van de beveiligingsprincipal waaraan u het toegangsbeleid wilt toewijzen.

  az ad sp list --show-mine
  

• Groepen: gebruik de opdracht az ad group list en filter de resultaten met de --display-name parameter :

  az ad group list --display-name <search-string>
  

• Gebruikers: gebruik de opdracht az ad user show en geef het e-mailadres van de gebruiker door in de --id parameter :

  az ad user show --id <email-address-of-user>
  

Het toegangsbeleid toewijzen

Gebruik de opdracht az keyvault set-policy om de gewenste machtigingen toe te wijzen:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

Vervang door <object-id> de object-id van uw beveiligingsprincipal.

U hoeft alleen , --key-permissionsen --certificate-permissions op te nemen --secret-permissionswanneer u machtigingen aan deze specifieke typen toewijst. De toegestane waarden voor <secret-permissions>, <key-permissions>en <certificate-permissions> worden opgegeven in de documentatie az keyvault set-policy .

Azure PowerShell

Zie New-AzureADGroup en Add-AzADGroupMember voor meer informatie over het maken van groepen in Azure Active Directory met behulp van Azure PowerShell.

PowerShell configureren en aanmelden

1. Als u opdrachten lokaal wilt uitvoeren, installeert u Azure PowerShell als u dat nog niet hebt gedaan.

   Als u opdrachten rechtstreeks in de cloud wilt uitvoeren, gebruikt u de Azure Cloud Shell.

2. Alleen lokale PowerShell:

   1. Installeer de Azure Active Directory PowerShell-module.

   2. Meld u aan bij Azure:

      Login-AzAccount
      

De object-id verkrijgen

Bepaal de object-id van de toepassing, groep of gebruiker waaraan u het toegangsbeleid wilt toewijzen:

• Toepassingen en andere service-principals: gebruik de cmdlet Get-AzADServicePrincipal met de -SearchString parameter om resultaten te filteren op de naam van de gewenste service-principal:

  Get-AzADServicePrincipal -SearchString <search-string>
  

• Groepen: gebruik de cmdlet Get-AzADGroup met de -SearchString parameter om resultaten te filteren op de naam van de gewenste groep:

  Get-AzADGroup -SearchString <search-string>
  

  In de uitvoer wordt de object-id weergegeven als Id.

• Gebruikers: gebruik de cmdlet Get-AzADUser en geef het e-mailadres van de gebruiker door aan de -UserPrincipalName parameter .

   Get-AzAdUser -UserPrincipalName <email-address-of-user>
  

  In de uitvoer wordt de object-id weergegeven als Id.

Het toegangsbeleid toewijzen

Gebruik de cmdlet Set-AzKeyVaultAccessPolicy om het toegangsbeleid toe te wijzen:

Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions    

U hoeft alleen , -PermissionsToKeysen -PermissionsToCertificates op te nemen -PermissionsToSecretswanneer u machtigingen aan deze specifieke typen toewijst. De toegestane waarden voor <secret-permissions>, <key-permissions>en <certificate-permissions> worden opgegeven in de documentatie Set-AzKeyVaultAccessPolicy - Parameters .

Volgende stappen

• Azure Key Vault-beveiliging
• Gids voor Azure Key Vault-ontwikkelaars