Felsöka problem med åtkomstprinciper för Azure Key Vault

Vanliga frågor och svar

Jag kan inte lista eller hämta hemligheter/nycklar/certifikat. Jag ser felet "något gick fel"

Om du har problem med att visa/skapa/skapa eller komma åt hemligheten kontrollerar du att du har definierat åtkomstprincipen för den åtgärden: Åtkomstprinciper för Key Vault

Hur kan jag identifiera hur och när nyckelvalv används?

När du har skapat ett eller flera nyckelvalv vill du förmodligen övervaka hur och när dina nyckelvalv används och av vem. Du kan övervaka genom att aktivera loggning för Azure Key Vault, för stegvis guide för att aktivera loggning, läs mer.

Hur kan jag övervaka valvtillgänglighet, tjänstfördröjningsperioder eller andra prestandamått för nyckelvalv?

När du börjar skala din tjänst ökar antalet begäranden som skickas till ditt nyckelvalv. En sådan efterfrågan kan öka svarstiden för dina begäranden och i extrema fall leda till att dina begäranden begränsas, vilket försämrar tjänstens prestanda. Du kan övervaka prestandamått för nyckelvalv och få aviseringar om specifika tröskelvärden, för stegvis guide för att konfigurera övervakning, läs mer.

Jag kan inte ändra åtkomstprincipen, hur kan den aktiveras?

Användaren måste ha tillräckliga Microsoft Entra-behörigheter för att ändra åtkomstprincipen. I det här fallet skulle användaren behöva ha en högre deltagarroll.

Jag ser felet "Okänd princip". Vad innebär det?

Det finns två orsaker till att du kan se en åtkomstprincip i avsnittet Okänd:

• En tidigare användare hade åtkomst men den användaren finns inte längre.
• Åtkomstprincipen lades till via PowerShell med hjälp av programmet objectid i stället för tjänstens huvudnamn.

Hur kan jag tilldela åtkomstkontroll per key vault-objekt?

Du bör undvika att tilldela roller på enskilda nycklar, hemligheter och certifikat. Undantag till allmän vägledning:

Scenarier där enskilda hemligheter måste delas mellan flera program, till exempel måste ett program komma åt data från det andra programmet

Hur gör jag för att autentisera nyckelvalvet med hjälp av åtkomstkontrollprincip?

Det enklaste sättet att autentisera ett molnbaserat program till Key Vault är med en hanterad identitet. Mer information finns i Autentisera till Azure Key Vault . Om du skapar ett lokalt program, utvecklar lokalt eller på annat sätt inte kan använda en hanterad identitet kan du i stället registrera ett huvudnamn för tjänsten manuellt och ge åtkomst till ditt nyckelvalv med hjälp av en princip för åtkomstkontroll. Se Tilldela en princip för åtkomstkontroll.

Hur kan jag ge AD-gruppen åtkomst till nyckelvalvet?

Ge AD-gruppen behörighet till ditt nyckelvalv med hjälp av Azure CLI-kommandot az keyvault set-policy eller cmdleten Azure PowerShell Set-AzKeyVaultAccessPolicy. Se Tilldela en åtkomstprincip – CLI och Tilldela en åtkomstprincip – PowerShell.

Programmet måste också ha minst en IAM-roll (identitets- och åtkomsthantering) tilldelad till nyckelvalvet. Annars kan det inte logga in och misslyckas med otillräcklig behörighet att komma åt prenumerationen. Microsoft Entra-grupper med hanterade identiteter kan kräva många timmar för att uppdatera token och bli effektiva. Se Begränsning av att använda hanterade identiteter för auktorisering

Hur kan jag distribuera om Key Vault med ARM-mallen utan att ta bort befintliga åtkomstprinciper?

För närvarande tar Omdistributionen av Key Vault bort alla åtkomstprinciper i Key Vault och ersätter dem med åtkomstprincipen i ARM-mallen. Det finns inget inkrementellt alternativ för Key Vault-åtkomstprinciper. För att bevara åtkomstprinciper i Key Vault måste du läsa befintliga åtkomstprinciper i Key Vault och fylla i ARM-mallen med dessa principer för att undvika avbrott i åtkomsten.

Ett annat alternativ som kan vara till hjälp för det här scenariot är att använda Azure RBAC och roller som ett alternativ till åtkomstprinciper. Med Azure RBAC kan du distribuera om nyckelvalvet utan att ange principen igen. Du kan läsa mer om den här lösningen här.

Rekommenderade felsökningssteg för följande feltyper

• HTTP 401: Oautentiserad begäran – Felsökningssteg
• HTTP 403: Otillräckliga behörigheter – Felsökningssteg
• HTTP 429: För många begäranden – Felsökningssteg
• Kontrollera om du har tagit bort åtkomstbehörigheten till nyckelvalvet: Se Tilldela en åtkomstprincip – CLI, Tilldela en åtkomstprincip – PowerShell eller Tilldela en åtkomstprincip – Portal.
• Om du har problem med att autentisera till nyckelvalv i kod använder du SDK för autentisering

Vilka metodtips bör jag implementera när nyckelvalvet begränsas?

Följ metodtipsen som dokumenteras här

Nästa steg

Lär dig hur du felsöker autentiseringsfel för nyckelvalvet: Felsökningsguide för Key Vault.