Назначение политики доступа Key Vault (устаревшая версия)

Внимание

При использовании модели разрешений политики доступа пользователь с ContributorKey Vault Contributorлюбой другой ролью, включающей Microsoft.KeyVault/vaults/write разрешения для плоскости управления хранилища ключей, может предоставить себе доступ к плоскости данных, задав политику доступа Key Vault. Чтобы предотвратить несанкционированный доступ и управление хранилищами ключей, ключами, секретами и сертификатами, необходимо ограничить доступ роли участника к хранилищам ключей в модели разрешений политики доступа. Чтобы устранить этот риск, рекомендуется использовать модель разрешений на основе ролей контроль доступа (RBAC), которая ограничивает управление разрешениями ролями "Владелец" и "Администратор доступа пользователей", что позволяет четко разделить операции безопасности и административные обязанности. Дополнительные сведения см. в руководстве по RBAC Key Vault и что такое Azure RBAC?

Политика доступа Key Vault определяет, может ли данный субъект безопасности, а именно пользователь, приложение или группа пользователей, выполнять различные операции с секретами, ключами и сертификатами Key Vault. Политики доступа можно назначать с помощью портала Azure, Azure CLI или Azure PowerShell.

Хранилище ключей поддерживает до 1024 политик доступа, при этом каждая запись предоставляет отдельный набор разрешений для определенного субъекта безопасности. Из-за этого ограничения рекомендуется назначать политики доступа группам пользователей там, где это возможно, а не отдельным пользователям. Использование групп значительно упрощает управление разрешениями для нескольких пользователей в организации. Дополнительные сведения см. в разделе "Управление доступом к приложениям и ресурсам" с помощью групп Microsoft Entra.

Портал Azure

Назначение политики доступа

1. На портале Azure перейдите к ресурсу Key Vault.

2. Выберите политики доступа, а затем нажмите кнопку "Создать".

   

3. Выберите необходимые разрешения в разделе "Разрешения ключа", "Разрешения секрета" и "Сертификаты".

   

4. В области выбора субъекта введите имя пользователя, приложения или субъекта-службы в поле поиска и выберите соответствующий результат.

   

   Если вы используете для приложения управляемое удостоверение, найдите и выберите имя приложения. (Дополнительные сведения о субъектах безопасности см. в разделе Проверка подлинности с помощью Key Vault.

5. Просмотрите изменения политики доступа и нажмите кнопку "Создать ", чтобы сохранить политику доступа.

   

6. Вернитесь на страницу политик доступа, убедитесь, что указана политика доступа.

   

Azure CLI

Дополнительные сведения о создании групп в идентификаторе Microsoft Entra с помощью Azure CLI см. в статье az ad group create and az ad group member add.

Настройка Azure CLI и вход

1. Для локального выполнения команд Azure CLI установите Azure CLI.

   Для выполнения команд непосредственно в облаке используйте Azure Cloud Shell.

2. Только локальный CLI — войдите в Azure с помощью az login:

   az login
   

   При необходимости команда az login открывает окно браузера для ввода учетных данных.

Получение идентификатора объекта

Определите идентификатор объекта приложения, группы или пользователя, которому необходимо назначить политику доступа:

• Приложения и другие субъекты-службы: для получения субъектов-служб используйте команду az ad sp list. Проверьте выходные данные команды, чтобы определить идентификатор объекта субъекта безопасности, которому необходимо назначить политику доступа.

  az ad sp list --show-mine
  

• Группы. Используйте команду az ad group list, чтобы отфильтровать результаты с помощью параметра --display-name:

  az ad group list --display-name <search-string>
  

• Пользователи. Используйте команду az ad user show, передающую адрес электронной почты пользователя в параметр --id:

  az ad user show --id <email-address-of-user>
  

Назначение политики доступа

Чтобы назначить нужные разрешения, используйте команду az keyvault set-policy:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

Замените <object-id> идентификатором объекта субъекта безопасности.

При назначении разрешений для этих конкретных типов необходимо включить только --secret-permissions, --key-permissions и --certificate-permissions. Допустимые значения для <secret-permissions>, <key-permissions> и <certificate-permissions> приведены в документации az keyvault set-policy.

Azure PowerShell

Дополнительные сведения о создании групп в идентификаторе Microsoft Entra с помощью Azure PowerShell см. в статье New-AzADGroup и Add-AzADGroupMember.

Настройка PowerShell и вход

1. Для локального выполнения команд установите Azure PowerShell, если еще не сделали этого.

   Для выполнения команд непосредственно в облаке используйте Azure Cloud Shell.

2. Только локальное средство PowerShell:

   1. Установите модуль PowerShell для Azure Active Directory.

   2. Войдите в Azure.

      Connect-AzAccount
      

Получение идентификатора объекта

Определите идентификатор объекта приложения, группы или пользователя, которому необходимо назначить политику доступа:

• Приложения и другие субъекты-службы: используйте командлет Get-AzADServicePrincipal с параметром -SearchString, чтобы отфильтровать результаты по имени нужного субъекта-службы:

  Get-AzADServicePrincipal -SearchString <search-string>
  

• Группы: используйте командлет Get-AzADGroup с параметром -SearchString, чтобы отфильтровать результаты по имени нужной группы:

  Get-AzADGroup -SearchString <search-string>
  

  В выходных данных идентификатор объекта указывается как Id.

• Пользователи: используйте командлет Get-AzADUser, передав адрес электронной почты пользователя в параметр -UserPrincipalName.

   Get-AzAdUser -UserPrincipalName <email-address-of-user>
  

  В выходных данных идентификатор объекта указывается как Id.

Назначение политики доступа

Чтобы назначить политику доступа, используйте командлет Set-AzKeyVaultAccessPolicy:

Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions    

При назначении разрешений для этих конкретных типов необходимо включить только -PermissionsToSecrets, -PermissionsToKeys и -PermissionsToCertificates. Допустимые значения для <secret-permissions>, <key-permissions> и <certificate-permissions> приведены в документе Set-AzKeyVaultAccessPolicy - Parameters.

Следующие шаги

• Безопасность Azure Key Vault
• Руководство разработчика Azure Key Vault