Magazyn kluczy obsługuje do 1024 wpisów zasad dostępu, przy czym każdy wpis przyznaje odrębny zestaw uprawnień dla określonego podmiotu zabezpieczeń. Ze względu na to ograniczenie zalecamy przypisywanie zasad dostępu do grup użytkowników, jeśli to możliwe, a nie do poszczególnych użytkowników. Korzystanie z grup znacznie ułatwia zarządzanie uprawnieniami dla wielu osób w organizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem do aplikacji i zasobów przy użyciu grup firmy Microsoft Entra.
W witrynie Azure Portal przejdź do zasobu usługi Key Vault.
Wybierz pozycję Zasady dostępu, a następnie wybierz pozycję Utwórz:
Wybierz uprawnienia, które chcesz mieć w obszarze Uprawnienia klucza, Uprawnienia wpisu tajnego i Uprawnienia certyfikatu.
W okienku Wybór podmiot zabezpieczeń wprowadź nazwę użytkownika, aplikacji lub jednostki usługi w polu wyszukiwania i wybierz odpowiedni wynik.
Jeśli używasz tożsamości zarządzanej dla aplikacji, wyszukaj i wybierz nazwę samej aplikacji. (Aby uzyskać więcej informacji na temat podmiotów zabezpieczeń, zobacz Uwierzytelnianie w usłudze Key Vault.
Przejrzyj zmiany zasad dostępu i wybierz pozycję Utwórz , aby zapisać zasady dostępu.
Po powrocie na stronę Zasady dostępu sprawdź, czy twoje zasady dostępu są wyświetlane.
Aby uzyskać więcej informacji na temat tworzenia grup w usłudze Microsoft Entra ID przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz az ad group create i az ad group member add.
Konfigurowanie interfejsu wiersza polecenia platformy Azure i logowanie
Tylko lokalny interfejs wiersza polecenia: zaloguj się do platformy Azure przy użyciu polecenia az login:
az login
Polecenie az login otwiera okno przeglądarki w celu zebrania poświadczeń w razie potrzeby.
Uzyskiwanie identyfikatora obiektu
Określ identyfikator obiektu aplikacji, grupy lub użytkownika, do którego chcesz przypisać zasady dostępu:
Aplikacje i inne jednostki usługi: użyj polecenia az ad sp list , aby pobrać jednostki usługi. Sprawdź dane wyjściowe polecenia, aby określić identyfikator obiektu podmiotu zabezpieczeń, do którego chcesz przypisać zasady dostępu.
Zastąp <object-id> element identyfikatorem obiektu podmiotu zabezpieczeń.
Podczas przypisywania uprawnień do tych określonych typów potrzebne są tylko elementy --secret-permissions, --key-permissionsi --certificate-permissions . Dozwolone wartości dla , i są podane w dokumentacji az keyvault set-policy.<certificate-permissions><key-permissions><secret-permissions>
Aby uzyskać więcej informacji na temat tworzenia grup w usłudze Microsoft Entra ID przy użyciu programu Azure PowerShell, zobacz New-AzADGroup i Add-AzADGroupMember.
Konfigurowanie programu PowerShell i logowania
Aby uruchamiać polecenia lokalnie, zainstaluj program Azure PowerShell , jeśli jeszcze tego nie zrobiono.
Zainstaluj moduł Programu PowerShell usługi Azure Active Directory.
Zaloguj się do platformy Azure:
Connect-AzAccount
Uzyskiwanie identyfikatora obiektu
Określ identyfikator obiektu aplikacji, grupy lub użytkownika, do którego chcesz przypisać zasady dostępu:
Aplikacje i inne jednostki usługi: użyj polecenia cmdlet Get-AzADServicePrincipal z parametrem -SearchString , aby filtrować wyniki pod nazwą żądanej jednostki usługi:
Podczas przypisywania uprawnień do tych określonych typów potrzebne są tylko elementy -PermissionsToSecrets, -PermissionsToKeysi -PermissionsToCertificates . Dozwolone wartości dla <secret-permissions>, <key-permissions>i <certificate-permissions> są podane w dokumentacji Set-AzKeyVaultAccessPolicy — parametry .
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
