Erişim İlkesi izin modelini kullanırken, , Key Vault Contributorveya anahtar kasası yönetim düzlemi için izinler içeren Microsoft.KeyVault/vaults/write başka bir role sahip Contributorbir kullanıcı, bir Key Vault erişim ilkesi ayarlayarak kendilerine veri düzlemi erişimi verebilir. Anahtar kasalarınızın, anahtarlarınızın, gizli dizilerinizin ve sertifikalarınızın yetkisiz erişimini ve yönetimini önlemek için, Erişim İlkesi izin modeli altında anahtar kasalarına Katkıda Bulunan rolü erişimini sınırlamak önemlidir. Bu riski azaltmak için, izin yönetimini 'Sahip' ve 'Kullanıcı Erişimi Yöneticisi' rolleri ile kısıtlayarak güvenlik işlemleri ile yönetim görevleri arasında net bir ayrım sağlayan Rol Tabanlı Erişim Denetimi (RBAC) izin modelini kullanmanızı öneririz. Daha fazla bilgi için bkz. Key Vault RBAC Kılavuzu ve Azure RBAC nedir?
Key Vault erişim ilkesi, belirli bir güvenlik sorumlusuna (kullanıcı, uygulama veya kullanıcı grubu) Key Vault gizli dizileri, anahtarları ve sertifikaları üzerinde farklı işlemler gerçekleştirip gerçekleştiremeyeceğini belirler. Erişim ilkelerini Azure portalını, Azure CLI'yı veya Azure PowerShell'i kullanarak atayabilirsiniz.
Key Vault, her biri belirli bir güvenlik sorumlusuna bir dizi benzersiz izin kümesi sağlayan en fazla 1024 erişim ilkesi girişini destekler. Bu sınırlama nedeniyle, mümkün olduğunda tek tek kullanıcılar yerine kullanıcı gruplarına erişim ilkeleri atamanızı öneririz. Grupları kullanmak, kuruluşunuzdaki birden çok kişinin izinlerini yönetmeyi çok daha kolay hale getirir. Daha fazla bilgi için bkz . Microsoft Entra gruplarını kullanarak uygulama ve kaynak erişimini yönetme.
Anahtar izinleri, Gizli dizi izinleri ve Sertifika izinleri altında istediğiniz izinleri seçin.
Asıl seçim bölmesinin altında, arama alanına kullanıcı, uygulama veya hizmet sorumlusunun adını girin ve uygun sonucu seçin.
Uygulama için yönetilen kimlik kullanıyorsanız, uygulamanın adını arayın ve seçin. (Güvenlik sorumluları hakkında daha fazla bilgi için bkz. Key Vault kimlik doğrulaması.
Erişim ilkesi değişikliklerini gözden geçirin ve erişim ilkesini kaydetmek için Oluştur'u seçin.
Azure CLI komutlarını yerel olarak çalıştırmak için Azure CLI'yı yükleyin.
Komutları doğrudan bulutta çalıştırmak için Azure Cloud Shell'i kullanın.
Yalnızca yerel CLI: kullanarak az loginAzure'da oturum açın:
az login
Komut, az login gerekirse kimlik bilgilerini toplamak için bir tarayıcı penceresi açar.
Nesne kimliğini alma
Erişim ilkesini atamak istediğiniz uygulamanın, grubun veya kullanıcının nesne kimliğini belirleyin:
Uygulamalar ve diğer hizmet sorumluları: hizmet sorumlularınızı almak için az ad sp list komutunu kullanın. Erişim ilkesini atamak istediğiniz güvenlik sorumlusunun nesne kimliğini belirlemek için komutunun çıktısını inceleyin.
az ad sp list --show-mine
Gruplar: az ad group list komutunu kullanarak sonuçları parametresiyle --display-name filtreleyin:
az ad group list --display-name <search-string>
Kullanıcılar: az ad user show komutunu kullanarak kullanıcının e-posta adresini parametresine --id geçirin:
değerini güvenlik sorumlunuzun nesne kimliğiyle değiştirin <object-id> .
Bu türlere izin atarken yalnızca --secret-permissions, --key-permissionsve --certificate-permissions eklemeniz gerekir. , <key-permissions>ve <certificate-permissions> için <secret-permissions>izin verilen değerler az keyvault set-policy belgelerinde verilmiştir.
Azure PowerShell kullanarak Microsoft Entra ID'de grup oluşturma hakkında daha fazla bilgi için bkz . New-AzADGroup ve Add-AzADGroupMember.
PowerShell'i yapılandırma ve oturum açma
Komutları yerel olarak çalıştırmak için henüz yapmadıysanız Azure PowerShell'i yükleyin.
Komutları doğrudan bulutta çalıştırmak için Azure Cloud Shell'i kullanın.
Bu türlere izin atarken yalnızca -PermissionsToSecrets, -PermissionsToKeysve -PermissionsToCertificates eklemeniz gerekir. , <key-permissions>ve <certificate-permissions> için <secret-permissions>izin verilen değerler Set-AzKeyVaultAccessPolicy - Parameters belgelerinde verilmiştir.
