Przypisywanie zasad dostępu Key Vault (starsza wersja)

Warning

Aby zwiększyć bezpieczeństwo, użyj modelu uprawnień Role-Based Access Control (RBAC), zamiast zasad dostępu podczas zarządzania Azure Key Vault. RBAC (kontrola dostępu oparta na rolach) ogranicza zarządzanie uprawnieniami tylko do ról "Właściciel" i "Administrator dostępów użytkownika", zapewniając wyraźną separację między zadaniami związanymi z bezpieczeństwem i administracją. Aby uzyskać więcej informacji, zobacz What is Azure RBAC? and the Key Vault RBAC Guide.

Korzystając z modelu uprawnień zasad dostępu, użytkownicy posiadający Contributor, Key Vault Contributor lub dowolną rolę z uprawnieniami Microsoft.KeyVault/vaults/write mogą sami przyznać sobie dostęp do warstwy danych poprzez skonfigurowanie zasady dostępu Key Vault. Może to spowodować nieautoryzowany dostęp do magazynów kluczy, kluczy, wpisów tajnych i certyfikatów oraz nieautoryzowane zarządzanie nimi. Aby zmniejszyć to ryzyko, ogranicz dostęp roli współautora do magazynów kluczy podczas korzystania z modelu zasad dostępu.

Ważna

Zasady dostępu to starszy model autoryzacji dla Azure Key Vault. W przypadku nowych wdrożeń zamiast tego należy użyć Azure kontroli dostępu opartej na rolach (RBAC). Zobacz Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault za pomocą kontroli dostępu opartej na rolach platformy Azure i Zabezpieczanie usługi Azure Key Vault.

Zasady dostępu do Key Vault określają, czy dany element zabezpieczeń, czyli użytkownik, aplikacja lub grupa użytkowników, może wykonywać różne operacje na tajemnicach, kluczach i certyfikatach w Key Vault. Zasady dostępu można przypisywać przy użyciu portalu Azure, Azure CLI lub Azure PowerShell.

Magazyn kluczy obsługuje do 1024 wpisów zasad dostępu, przy czym każdy wpis przyznaje odrębny zestaw uprawnień dla określonego podmiotu zabezpieczeń. Ze względu na to ograniczenie zalecamy przypisywanie zasad dostępu do grup użytkowników, jeśli to możliwe, a nie do poszczególnych użytkowników. Korzystanie z grup znacznie ułatwia zarządzanie uprawnieniami dla wielu osób w organizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do aplikacji i zasobów przy użyciu grup Microsoft Entra.

Portal Azure

Przypisywanie zasad dostępu

1. W portalu Azure przejdź do zasobu Key Vault.

2. Wybierz pozycję Zasady dostępu, a następnie wybierz pozycję Utwórz:

   

3. Wybierz uprawnienia, które chcesz mieć w obszarze Uprawnienia klucza, Uprawnienia tajne i Uprawnienia certyfikatu.

   

4. W oknie Wybór główny wprowadź nazwę użytkownika, aplikacji lub głównego użytkownika w polu wyszukiwania i wybierz odpowiedni wynik.

   

   Jeśli używasz tożsamości zarządzanej dla aplikacji, wyszukaj i wybierz nazwę samej aplikacji. (Aby uzyskać więcej informacji na temat podmiotów zabezpieczeń, zobacz Key Vault authentication.

5. Przejrzyj zmiany zasad dostępu i wybierz pozycję Utwórz , aby zapisać zasady dostępu.

   

6. Po powrocie na stronę Zasady dostępu sprawdź, czy twoje zasady dostępu są wyświetlane.

   

Azure CLI

Aby uzyskać więcej informacji na temat tworzenia grup w Microsoft Entra ID przy użyciu Azure CLI, zobacz az ad group create oraz az ad group member add.

Konfigurowanie Azure CLI i logowanie

1. Aby uruchomić polecenia Azure CLI lokalnie, zainstaluj Azure CLI.

   Aby uruchamiać polecenia bezpośrednio w chmurze, użyj Azure Cloud Shell.

2. Zaloguj się do usługi Azure używając tylko lokalnego interfejsu wiersza poleceń: az login.

   az login
   

   Polecenie az login otwiera okno przeglądarki w celu zebrania poświadczeń w razie potrzeby.

Uzyskiwanie identyfikatora obiektu

Określ identyfikator obiektu aplikacji, grupy lub użytkownika, do którego chcesz przypisać zasady dostępu:

• Aplikacje i inne podmioty usługi: użyj polecenia az ad sp list, aby pobrać swoje podmioty usługi. Sprawdź dane wyjściowe polecenia, aby określić identyfikator obiektu podmiotu zabezpieczeń, do którego chcesz przypisać zasady dostępu.

  az ad sp list --show-mine
  

• Grupy: użyj polecenia az ad group list , filtrując wyniki za pomocą parametru --display-name :

  az ad group list --display-name <search-string>
  

• Użytkownicy: skorzystaj z polecenia az ad user show, przekazując adres e-mail użytkownika w parametrze --id:

  az ad user show --id <email-address-of-user>
  

Przypisywanie zasad dostępu

Użyj polecenia az keyvault set-policy, aby przypisać odpowiednie uprawnienia:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

Zastąp <object-id> identyfikatorem obiektu podmiotu zabezpieczeń.

Podczas przypisywania uprawnień do tych określonych typów potrzebne są tylko elementy --secret-permissions, --key-permissionsi --certificate-permissions . Dozwolone wartości dla <secret-permissions>, <key-permissions>, i <certificate-permissions> są podane w dokumentacji az keyvault set-policy.

Azure PowerShell

Aby uzyskać więcej informacji na temat tworzenia grup w Microsoft Entra ID przy użyciu Azure PowerShell, zobacz New-AzADGroup i Add-AzADGroupMember.

Konfigurowanie programu PowerShell i logowania

1. Aby uruchomić polecenia lokalnie, zainstaluj Azure PowerShell jeśli jeszcze tego nie zrobiono.

   Aby uruchamiać polecenia bezpośrednio w chmurze, użyj Azure Cloud Shell.

2. Tylko lokalny program PowerShell:

   1. Zainstaluj moduł Microsoft Entra ID PowerShell.

   2. Zaloguj się do Azure:

      Connect-AzAccount
      

Uzyskiwanie identyfikatora obiektu

Określ identyfikator obiektu aplikacji, grupy lub użytkownika, do którego chcesz przypisać zasady dostępu:

• Aplikacje i inne jednostki usługi: użyj polecenia cmdlet Get-AzADServicePrincipal z parametrem -SearchString, aby filtrować wyniki według nazwy oczekiwanej jednostki usługi:

  Get-AzADServicePrincipal -SearchString "<search-string>"
  

• Grupy: użyj polecenia cmdlet Get-AzADGroup z parametrem -SearchString , aby filtrować wyniki pod nazwą żądanej grupy:

  Get-AzADGroup -SearchString "<search-string>"
  

  W danych wyjściowych identyfikator obiektu jest wyświetlany jako Id.

• Użytkownicy: użyj cmdletu Get-AzADUser, przekazując adres e-mail użytkownika do parametru -UserPrincipalName.

   Get-AzAdUser -UserPrincipalName <email-address-of-user>
  

  W danych wyjściowych identyfikator obiektu jest wyświetlany jako Id.

Przypisywanie zasad dostępu

Użyj polecenia cmdlet Set-AzKeyVaultAccessPolicy, aby przypisać zasady dostępu:

Set-AzKeyVaultAccessPolicy -VaultName "<vault-name>" -ObjectId "<object-id>" -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions>    

Podczas przypisywania uprawnień do tych określonych typów potrzebne są tylko elementy -PermissionsToSecrets, -PermissionsToKeysi -PermissionsToCertificates . Dozwolone wartości dla <secret-permissions>, <key-permissions>i <certificate-permissions> są podane w dokumentacji Set-AzKeyVaultAccessPolicy — parametry .

Dalsze kroki

• zabezpieczenia Azure Key Vault
• przewodnik dewelopera Azure Key Vault