Solucionar problemas de política de acesso do Azure Key Vault
Perguntas frequentes
Não consigo listar ou obter segredos/chaves/certificado. Estou vendo um erro "algo deu errado"
Caso esteja com problemas para listar/obter/criar ou acessar o segredo, verifique se tem a política de acesso definida para realizar essa operação: Políticas de acesso ao Key Vault
Como identificar como e quando os cofres de chaves são acessados?
Depois de criar um ou mais cofres de chaves, provavelmente você desejará monitorar como e quando os cofres de chaves serão acessados e por quem. Você pode fazer o monitoramento habilitando o registro em log para o Azure Key Vault. Para ver um guia passo a passo de como habilitar o registro em log, leia mais.
Como posso monitorar a disponibilidade do cofre, os períodos de latência do serviço ou outras métricas de desempenho do cofre de chaves?
Conforme você começar a escalar o serviço, o número de solicitações enviadas para o cofre de chaves aumentará. Essa demanda tem o potencial de aumentar a latência de suas solicitações e, em casos extremos, fazer com que suas solicitações sejam limitadas, o que prejudicará o desempenho do serviço. Você pode monitorar as métricas de desempenho do cofre de chaves e receber alertas relacionados a limites específicos. Para ver um guia passo a passo de como configurar o monitoramento, leia mais.
Não consigo modificar a política de acesso, como ela pode ser habilitada?
O usuário precisa ter permissões suficientes do Microsoft Entra para modificar a política de acesso. Nesse caso, o usuário precisaria ter uma função de colaborador mais alta.
Estou vendo o erro "Política Desconhecida". O que isso significa?
Há dois motivos pelos quais você pode ver uma política de acesso na seção de Desconhecido:
- Um usuário anterior tinha acesso, mas esse usuário não existe mais.
- A política de acesso foi adicionada por meio do PowerShell, usando o objectid do aplicativo, em vez da entidade de serviço.
Como posso atribuir o controle de acesso por objeto do cofre de chaves?
A atribuição de funções em chaves, segredos e certificados individuais deve ser evitada. Exceções às diretrizes gerais:
Cenários em que segredos individuais devem ser compartilhados entre vários aplicativos, por exemplo, um aplicativo precisar acessar dados do outro aplicativo
Como fornecer a autenticação do cofre de chaves usando a política de controle de acesso?
A maneira mais simples de autenticar um aplicativo baseado em nuvem no Key Vault é com uma identidade gerenciada; confira Autenticar-se no Azure Key Vault para obter detalhes. Caso você esteja criando um aplicativo local, fazendo o desenvolvimento local ou, de outro modo, não possa usar uma identidade gerenciada, registre uma entidade de serviço manualmente e forneça acesso ao cofre de chaves usando uma política de controle de acesso. Confira Atribuir uma política de controle de acesso.
Como conceder ao grupo do AD acesso ao cofre de chaves?
Conceda ao grupo do AD permissões para o cofre de chaves usando o comando az keyvault set-policy da CLI do Azure ou o cmdlet Set-AzKeyVaultAccessPolicy do Azure PowerShell. Confira Atribuir uma política de acesso – CLI e Atribuir uma política de acesso – PowerShell.
O aplicativo também precisa de pelo menos uma função de IAM (Gerenciamento de Identidades e Acesso) atribuída ao cofre de chaves. Caso contrário, ele não poderá fazer logon e falhará ao acessar a assinatura, devido a direitos insuficientes. Os grupos do Microsoft Entra com identidades gerenciadas podem exigir várias horas para atualizar os tokens e entrarem em vigor. Consulte Limitação no uso de identidades gerenciadas para autorização
Como reimplantar o Key Vault com o modelo do ARM sem excluir as políticas de acesso existentes?
Atualmente, a reimplantação do Key Vault exclui as políticas de acesso no Key Vault e as substitui pela política de acesso no modelo do ARM. Não há opção incremental para políticas de acesso do Key Vault. Para preservar as políticas de acesso no Key Vault, você precisa ler as políticas de acesso existentes nele e popular o modelo do ARM com essas políticas para evitar interrupções de acesso.
Outra opção que pode ajudar nesse cenário é usar o Azure RBAC e funções como uma alternativa às políticas de acesso. Com o Azure RBAC, implante novamente o cofre de chaves sem especificar a política novamente. Você pode ler mais sobre essa solução aqui.
Etapas de solução de problemas recomendadas para os seguintes tipos de erro
- HTTP 401: Solicitação não autenticada – Etapas de solução de problemas
- HTTP 403: Permissões insuficientes – Etapas de solução de problemas
- HTTP 429: Número excessivo de solicitações – Etapas de solução de problemas
- Verifique se você tem permissão de acesso para excluir o cofre de chaves: confira Atribuir uma política de acesso – CLI, Atribuir uma política de acesso – PowerShell ou Atribuir uma política de acesso – Portal.
- Se você tiver problemas com a autenticação no cofre de chaves no código, use SDK de autenticação
Quais são as melhores práticas que devo implementar quando o cofre de chaves estiver sendo limitado?
Siga as melhores práticas documentadas aqui
Próximas etapas
Saiba como solucionar erros de autenticação no Key Vault: Guia de solução de problemas do Key Vault.