Een Key Vault toegangsbeleid bepaalt of een bepaalde beveiligingsprincipal, namelijk een gebruiker, toepassing of gebruikersgroep, verschillende bewerkingen kan uitvoeren op Key Vault geheimen, sleutels en certificaten. U kunt toegangsbeleid toewijzen met behulp van de Azure Portal, de Azure CLI of Azure PowerShell.
Key Vault ondersteunt maximaal 1024 toegangsbeleidsvermeldingen, waarbij elke vermelding een afzonderlijke set machtigingen verleent aan een bepaalde beveiligingsprincipal. Vanwege deze beperking raden we u aan toegangsbeleid toe te wijzen aan groepen gebruikers, waar mogelijk, in plaats van afzonderlijke gebruikers. Het gebruik van groepen maakt het veel eenvoudiger om machtigingen voor meerdere personen in uw organisatie te beheren. Zie Toegang tot apps en resources beheren met Behulp van Azure Active Directory-groepen voor meer informatie
Navigeer in de Azure Portal naar de resource Key Vault.
Selecteer Toegangsbeleid en selecteer vervolgens Maken:
Selecteer de gewenste machtigingen onder Sleutelmachtigingen, Geheime machtigingen en Certificaatmachtigingen.
Voer in het selectiedeelvenster Principal de naam van de gebruiker, app of service-principal in het zoekveld in en selecteer het juiste resultaat.
Als u een beheerde identiteit voor de app gebruikt, zoekt en selecteert u de naam van de app zelf. (Zie Key Vault verificatie voor meer informatie over beveiligingsprincipals.
Controleer de wijzigingen in het toegangsbeleid en selecteer Maken om het toegangsbeleid op te slaan.
Ga terug naar de pagina Toegangsbeleid en controleer of uw toegangsbeleid wordt vermeld.
Als u Azure CLI-opdrachten lokaal wilt uitvoeren, installeert u de Azure CLI.
Als u opdrachten rechtstreeks in de cloud wilt uitvoeren, gebruikt u de Azure Cloud Shell.
Alleen lokale CLI: meld u aan bij Azure met behulp van az login:
az login
Met de az login opdracht wordt een browservenster geopend om referenties te verzamelen, indien nodig.
De object-id verkrijgen
Bepaal de object-id van de toepassing, groep of gebruiker waaraan u het toegangsbeleid wilt toewijzen:
Toepassingen en andere service-principals: gebruik de opdracht az ad sp list om uw service-principals op te halen. Bekijk de uitvoer van de opdracht om de object-id te bepalen van de beveiligingsprincipal waaraan u het toegangsbeleid wilt toewijzen.
az ad sp list --show-mine
Groepen: gebruik de opdracht az ad group list en filter de resultaten met de --display-name parameter :
az ad group list --display-name <search-string>
Gebruikers: gebruik de opdracht az ad user show en geef het e-mailadres van de gebruiker door in de --id parameter :
Vervang door <object-id> de object-id van uw beveiligingsprincipal.
U hoeft alleen , --key-permissionsen --certificate-permissions op te nemen --secret-permissionswanneer u machtigingen aan deze specifieke typen toewijst. De toegestane waarden voor <secret-permissions>, <key-permissions>en <certificate-permissions> worden opgegeven in de documentatie az keyvault set-policy .
Zie New-AzureADGroup en Add-AzADGroupMember voor meer informatie over het maken van groepen in Azure Active Directory met behulp van Azure PowerShell.
Bepaal de object-id van de toepassing, groep of gebruiker waaraan u het toegangsbeleid wilt toewijzen:
Toepassingen en andere service-principals: gebruik de cmdlet Get-AzADServicePrincipal met de -SearchString parameter om resultaten te filteren op de naam van de gewenste service-principal:
U hoeft alleen , -PermissionsToKeysen -PermissionsToCertificates op te nemen -PermissionsToSecretswanneer u machtigingen aan deze specifieke typen toewijst. De toegestane waarden voor <secret-permissions>, <key-permissions>en <certificate-permissions> worden opgegeven in de documentatie Set-AzKeyVaultAccessPolicy - Parameters .