Problemen met het toegangsbeleid voor Azure Key Vault oplossen
Veelgestelde vragen
Ik kan geen geheimen/sleutels/certificaat weergeven of ophalen. Ik zie de foutmelding 'Er is iets misgegaan'
Als u problemen ondervindt met het weergeven/ophalen/maken of openen van een geheim, moet u ervoor zorgen dat u toegangsbeleid hebt gedefinieerd om die bewerking uit te voeren: Key Vault-toegangsbeleid
Hoe kan ik vaststellen hoe en wanneer sleutelkluizen worden geopend?
Nadat u een of meer sleutelkluizen hebt gemaakt, wilt u wellicht controleren hoe en wanneer uw sleutelkluizen toegankelijk zijn en voor wie. U kunt dit controleren door logboekregistratie in te schakelen voor Azure Key Vault. Lees meer voor stapsgewijze instructies om logboekregistratie in te schakelen.
Hoe kan ik de beschikbaarheid van de kluis, servicelatentieperioden of andere metrische gegevens voor de sleutelkluis bewaken?
Wanneer u begint met het schalen van uw service, neemt het aantal aanvragen toe dat naar uw sleutelkluis wordt verzonden. Een dergelijke vraag kan de latentie van uw aanvragen verhogen en in extreme gevallen ervoor zorgen dat uw aanvragen worden beperkt, waardoor de prestaties van uw service afnemen. U kunt de metrische gegevens van de prestaties van de sleutelkluis controleren en waarschuwingen ontvangen voor specifieke drempelwaarden. Lees meer voor een stapsgewijze handleiding voor het configureren van bewaking.
Ik kan het toegangsbeleid niet wijzigen, hoe kan dit worden ingeschakeld?
De gebruiker moet over voldoende Microsoft Entra-machtigingen beschikken om het toegangsbeleid te wijzigen. In dit geval moet de gebruiker een hogere Inzender-rol hebben.
Ik zie de fout Onbekend beleid. Wat betekent dat?
Er zijn twee redenen waarom u mogelijk een toegangsbeleid ziet in de sectie Onbekend:
- Een eerdere gebruiker had toegang, maar die gebruiker bestaat niet meer.
- Het toegangsbeleid is toegevoegd via PowerShell, met behulp van de object-id van de toepassing in plaats van de service-principal.
Hoe kan ik toegangsbeheer per sleutelkluisobject toewijzen?
Het toewijzen van rollen aan afzonderlijke sleutels, geheimen en certificaten moet worden vermeden. Uitzonderingen op algemene richtlijnen:
Scenario's waarin afzonderlijke geheimen moeten worden gedeeld tussen meerdere toepassingen, bijvoorbeeld één toepassing moet toegang hebben tot gegevens van de andere toepassing
Hoe kan ik Key Vault-verificatie bieden met een toegangsbeheerbeleid?
De eenvoudigste manier om een cloudtoepassing bij Key Vault te verifiëren, is met een beheerde identiteit. Zie Verificatie bij Azure Key Vault voor meer informatie. Als u een on-premises toepassing maakt, lokale ontwikkeling uitvoert of op een andere manier geen beheerde identiteit kunt gebruiken, kunt u in plaats daarvan handmatig een service-principal registreren en toegang verlenen tot uw sleutelkluis met behulp van een toegangsbeheerbeleid. Zie Een toegangscontrolebeleid toewijzen.
Hoe kan ik de AD-groep toegang geven tot de sleutelkluis?
Geef de AD-groep toegang tot uw sleutelkluis met behulp van de Azure CLI-opdracht az keyvault set-policy
of de Azure PowerShell-cmdlet Set-AzKeyVaultAccessPolicy. Zie Een toegangsbeleid toewijzen - CLI en Een toegangsbeleid toewijzen - PowerShell.
De toepassing moet ook ten minste één IAM-rol (Identiteits- en toegangsbeheer) hebben die is toegewezen aan de sleutelkluis. Anders kan de toepassing zich niet aanmelden en mislukt deze door onvoldoende toegangsrechten tot het abonnement. Voor Microsoft Entra-groepen met beheerde identiteiten zijn mogelijk veel uren nodig om tokens te vernieuwen en effectief te worden. Zie Beperking van het gebruik van beheerde identiteiten voor autorisatie
Hoe kan ik Key Vault opnieuw implementeren met een ARM-sjabloon zonder bestaand toegangsbeleid te verwijderen?
Op dit moment worden alle toegangsbeleid in Key Vault verwijderd en vervangen door toegangsbeleid in ARM-sjabloon. Er is geen incrementele optie voor Key Vault-toegangsbeleid. Als u het toegangsbeleid in Key Vault wilt behouden, moet u het bestaande toegangsbeleid lezen in Key Vault en de ARM-sjabloon vullen met dit beleid om eventuele toegangsstoringen te voorkomen.
Een andere optie die u kan helpen bij dit scenario, is het gebruik van Azure RBAC en rollen als alternatief voor toegangsbeleid. Met Azure RBAC kunt u de sleutelkluis opnieuw implementeren zonder het beleid opnieuw op te geven. Hier kunt u meer lezen over deze oplossing.
Aanbevolen stappen voor probleemoplossing voor de volgende fouttypen
- HTTP 401: Niet-geverifieerde aanvraag - Stappen voor probleemoplossing
- HTTP 403: Onvoldoende machtigingen - Stappen voor probleemoplossing
- HTTP 429: Te veel aanvragen - Stappen voor probleemoplossing
- Controleer of u de toegangsmachtiging voor de sleutelkluis hebt verwijderd: zie Een toegangsbeleid toewijzen - CLI, Een toegangsbeleid toewijzen - PowerShell of Een toegangsbeleid toewijzen - Portal.
- Als u een probleem hebt met de verificatie voor de sleutelkluis in code, gebruikt u Authentication SDK (Verificatie-SDK)
Wat zijn de aanbevolen procedures die ik moet implementeren als de sleutelkluis wordt beperkt?
Volg de aanbevolen procedures die hier worden beschreven
Volgende stappen
Meer informatie over het oplossen van verificatiefouten in key vault: Gids voor het oplossen van problemen met Key Vault.