Een Key Vault-toegangsbeleid toewijzen (verouderd)

Een Key Vault-toegangsbeleid bepaalt of een bepaalde beveiligingsprincipaal, namelijk een gebruiker, toepassing of gebruikersgroep, verschillende bewerkingen kan uitvoeren op Key Vault-geheimen, -sleutels en -certificaten. U kunt toegangsbeleid toewijzen met behulp van Azure Portal, de Azure CLI of Azure PowerShell.

Key Vault ondersteunt maximaal 1024 toegangsbeleidsregels, waarbij elke vermelding een afzonderlijke set machtigingen verleent aan een bepaalde beveiligingsprincipal. Vanwege deze beperking raden we u aan toegangsbeleid toe te wijzen aan groepen gebruikers, indien mogelijk, in plaats van afzonderlijke gebruikers. Het gebruik van groepen maakt het veel eenvoudiger om machtigingen voor meerdere personen in uw organisatie te beheren. Zie App- en resourcetoegang beheren met Behulp van Microsoft Entra-groepen voor meer informatie

Azure-portal

Een toegangsbeleid toewijzen

1. Navigeer in Azure Portal naar de Key Vault-resource.

2. Selecteer Toegangsbeleid en selecteer vervolgens Maken:

   

3. Selecteer de gewenste machtigingen onder Sleutelmachtigingen, Geheime machtigingen en Certificaatmachtigingen.

   

4. Voer in het selectiedeelvenster Principal de naam in van de gebruiker, app of service-principal in het zoekveld en selecteer het juiste resultaat.

   

   Als u een beheerde identiteit voor de app gebruikt, zoekt en selecteert u de naam van de app zelf. (Zie voor meer informatie over beveiligingsprinciplen Key Vault-verificatie.

5. Controleer de wijzigingen in het toegangsbeleid en selecteer Maken om het toegangsbeleid op te slaan.

   

6. Controleer op de pagina Toegangsbeleid of uw toegangsbeleid wordt vermeld.

   

Azure-CLI

Zie az ad group create and az ad group member add voor meer informatie over het maken van groepen in Microsoft Entra ID met behulp van de Azure CLI.

De Azure CLI configureren en u aanmelden

1. Als u Azure CLI-opdrachten lokaal wilt uitvoeren, installeert u de Azure CLI.

   Als u opdrachten rechtstreeks in de cloud wilt uitvoeren, gebruikt u De Azure Cloud Shell.

2. Alleen lokale CLI: meld u aan bij Azure met behulp van az login:

   az login
   

   Met de az login opdracht wordt een browservenster geopend om zo nodig referenties te verzamelen.

De object-id verkrijgen

Bepaal de object-id van de toepassing, groep of gebruiker waaraan u het toegangsbeleid wilt toewijzen:

• Toepassingen en andere service-principals: gebruik de opdracht az ad sp list om uw service-principals op te halen. Bekijk de uitvoer van de opdracht om de object-id te bepalen van de beveiligingsprincipaal waaraan u het toegangsbeleid wilt toewijzen.

  az ad sp list --show-mine
  

• Groepen: gebruik de opdracht az ad group list en filter de resultaten met de --display-name parameter:

  az ad group list --display-name <search-string>
  

• Gebruikers: gebruik de opdracht az ad user show , waarbij het e-mailadres van de gebruiker wordt doorgegeven in de --id parameter:

  az ad user show --id <email-address-of-user>
  

Het toegangsbeleid toewijzen

Gebruik de opdracht az keyvault set-policy om de gewenste machtigingen toe te wijzen:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

Vervang door <object-id> de object-id van uw beveiligingsprincipaal.

U hoeft alleen machtigingen voor deze specifieke typen toe --secret-permissions--key-permissions--certificate-permissions te wijzen. De toegestane waarden voor <secret-permissions>, <key-permissions>en <certificate-permissions> worden gegeven in de documentatie az keyvault set-policy .

Azure PowerShell

Zie New-AzADGroup en Add-AzADGroupMember voor meer informatie over het maken van groepen in Microsoft Entra ID met behulp van Azure PowerShell.

PowerShell configureren en aanmelden

1. Als u opdrachten lokaal wilt uitvoeren, installeert u Azure PowerShell als u dat nog niet hebt gedaan.

   Als u opdrachten rechtstreeks in de cloud wilt uitvoeren, gebruikt u De Azure Cloud Shell.

2. Alleen lokale PowerShell:

   1. Installeer de Azure Active Directory PowerShell-module.

   2. Meld u aan bij Azure:

      Connect-AzAccount
      

De object-id verkrijgen

Bepaal de object-id van de toepassing, groep of gebruiker waaraan u het toegangsbeleid wilt toewijzen:

• Toepassingen en andere service-principals: gebruik de cmdlet Get-AzADServicePrincipal met de -SearchString parameter om resultaten te filteren op de naam van de gewenste service-principal:

  Get-AzADServicePrincipal -SearchString <search-string>
  

• Groepen: gebruik de cmdlet Get-AzADGroup met de -SearchString parameter om resultaten te filteren op de naam van de gewenste groep:

  Get-AzADGroup -SearchString <search-string>
  

  In de uitvoer wordt de object-id weergegeven als Id.

• Gebruikers: gebruik de cmdlet Get-AzADUser , waarbij het e-mailadres van de gebruiker wordt doorgegeven aan de -UserPrincipalName parameter.

   Get-AzAdUser -UserPrincipalName <email-address-of-user>
  

  In de uitvoer wordt de object-id weergegeven als Id.

Het toegangsbeleid toewijzen

Gebruik de cmdlet Set-AzKeyVaultAccessPolicy om het toegangsbeleid toe te wijzen:

Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions    

U hoeft alleen machtigingen voor deze specifieke typen toe -PermissionsToSecrets-PermissionsToKeys-PermissionsToCertificates te wijzen. De toegestane waarden voor <secret-permissions>, <key-permissions>en <certificate-permissions> worden gegeven in de documentatie Set-AzKeyVaultAccessPolicy - Parameters .

Volgende stappen

• Azure Key Vault-beveiliging
• Gids voor Azure Key Vault-ontwikkelaars