Warning
Gelişmiş güvenlik için Azure Key Vault'ı yönetirken erişim ilkeleri yerine Role-Based Erişim Denetimi (RBAC) izin modelini kullanın. RBAC, izin yönetimini yalnızca 'Sahip' ve 'Kullanıcı Erişimi Yöneticisi' rolleriyle kısıtlayarak güvenlik ve yönetim görevleri arasında net bir ayrım yapılmasını sağlar. Daha fazla bilgi için bkz. Azure RBAC nedir? ve Key Vault RBAC Kılavuzu.
Erişim İlkesi izin modeliyle, Contributor, Key Vault Contributor veya izinler içeren herhangi bir Microsoft.KeyVault/vaults/write role sahip kullanıcılar, bir Key Vault erişim ilkesi yapılandırarak kendilerine veri düzeyine erişim verebilir. Bu, anahtar kasalarınızın, anahtarlarınızın, gizli dizilerinizin ve sertifikalarınızın yetkisiz erişimine ve yönetimine neden olabilir. Bu riski azaltmak için Erişim İlkesi modelini kullanırken anahtar kasalarına Katkıda Bulunan rolü erişimini sınırlayın.
Key Vault erişim ilkesi, belirli bir güvenlik sorumlusuna (kullanıcı, uygulama veya kullanıcı grubu) Key Vault gizli dizileri, anahtarları ve sertifikaları üzerinde farklı işlemler gerçekleştirip gerçekleştiremeyeceğini belirler. Erişim ilkelerini Azure portalını, Azure CLI'yı veya Azure PowerShell'i kullanarak atayabilirsiniz.
Key Vault, her biri belirli bir güvenlik sorumlusuna bir dizi benzersiz izin kümesi sağlayan en fazla 1024 erişim ilkesi girişini destekler. Bu sınırlama nedeniyle, mümkün olduğunda tek tek kullanıcılar yerine kullanıcı gruplarına erişim ilkeleri atamanızı öneririz. Grupları kullanmak, kuruluşunuzdaki birden çok kişinin izinlerini yönetmeyi çok daha kolay hale getirir. Daha fazla bilgi için bkz . Microsoft Entra gruplarını kullanarak uygulama ve kaynak erişimini yönetme.
Erişim ilkesi atama
Azure portalında Key Vault kaynağına gidin.
Erişim ilkeleri'ni ve ardından Oluştur'u seçin:
Anahtar izinleri, Gizli dizi izinleri ve Sertifika izinleri altında istediğiniz izinleri seçin.
Asıl seçim bölmesinin altında, arama alanına kullanıcı, uygulama veya hizmet sorumlusunun adını girin ve uygun sonucu seçin.
Uygulama için yönetilen kimlik kullanıyorsanız, uygulamanın adını arayın ve seçin. (Güvenlik sorumluları hakkında daha fazla bilgi için bkz. Key Vault kimlik doğrulaması.
Erişim ilkesi değişikliklerini gözden geçirin ve erişim ilkesini kaydetmek için Oluştur'u seçin.
Erişim ilkeleri sayfasına dönüp erişim ilkenizin listelendiğini doğrulayın.
Azure CLI kullanarak Microsoft Entra ID'de grup oluşturma hakkında daha fazla bilgi için bkz . az ad group create ve az ad group member add.
Azure CLI komutlarını yerel olarak çalıştırmak için Azure CLI'yı yükleyin.
Komutları doğrudan bulutta çalıştırmak için Azure Cloud Shell'i kullanın.
Yalnızca yerel CLI: kullanarak az loginAzure'da oturum açın:
az login
Komut, az login gerekirse kimlik bilgilerini toplamak için bir tarayıcı penceresi açar.
Nesne kimliğini alma
Erişim ilkesini atamak istediğiniz uygulamanın, grubun veya kullanıcının nesne kimliğini belirleyin:
Uygulamalar ve diğer hizmet sorumluları: hizmet sorumlularınızı almak için az ad sp list komutunu kullanın. Erişim ilkesini atamak istediğiniz güvenlik sorumlusunun nesne kimliğini belirlemek için komutunun çıktısını inceleyin.
az ad sp list --show-mine
Gruplar: az ad group list komutunu kullanarak sonuçları parametresiyle --display-name filtreleyin:
az ad group list --display-name <search-string>
Kullanıcılar: az ad user show komutunu kullanarak kullanıcının e-posta adresini parametresine --id geçirin:
az ad user show --id <email-address-of-user>
Erişim ilkesini atama
İstenen izinleri atamak için az keyvault set-policy komutunu kullanın:
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>
değerini güvenlik sorumlunuzun nesne kimliğiyle değiştirin <object-id> .
Bu türlere izin atarken yalnızca --secret-permissions, --key-permissionsve --certificate-permissions eklemeniz gerekir. , <secret-permissions>ve <key-permissions> için <certificate-permissions>izin verilen değerler az keyvault set-policy belgelerinde verilmiştir.
Azure PowerShell kullanarak Microsoft Entra ID'de grup oluşturma hakkında daha fazla bilgi için bkz . New-AzADGroup ve Add-AzADGroupMember.
Komutları yerel olarak çalıştırmak için henüz yapmadıysanız Azure PowerShell'i yükleyin.
Komutları doğrudan bulutta çalıştırmak için Azure Cloud Shell'i kullanın.
Yalnızca yerel PowerShell:
Azure Active Directory PowerShell modülünü yükleyin.
Azure'da Oturum Açın:
Connect-AzAccount
Nesne kimliğini alma
Erişim ilkesini atamak istediğiniz uygulamanın, grubun veya kullanıcının nesne kimliğini belirleyin:
Uygulamalar ve diğer hizmet sorumluları: Sonuçları istenen hizmet sorumlusunun adına göre filtrelemek için Get-AzADServicePrincipal cmdlet'ini parametresiyle -SearchString birlikte kullanın:
Get-AzADServicePrincipal -SearchString <search-string>
Gruplar: Sonuçları istenen grubun adına göre filtrelemek için Get-AzADGroup:
Get-AzADGroup -SearchString <search-string>
Çıktıda nesne kimliği olarak Idlistelenir.
Kullanıcılar: Kullanıcının e-posta adresini parametresine geçirerek Get-AzADUser.
Get-AzAdUser -UserPrincipalName <email-address-of-user>
Çıktıda nesne kimliği olarak Idlistelenir.
Erişim ilkesini atama
Erişim ilkesini atamak için Set-AzKeyVaultAccessPolicy cmdlet'ini kullanın:
Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions
Bu türlere izin atarken yalnızca -PermissionsToSecrets, -PermissionsToKeysve -PermissionsToCertificates eklemeniz gerekir. , <secret-permissions>ve <key-permissions> için <certificate-permissions>izin verilen değerler Set-AzKeyVaultAccessPolicy - Parameters belgelerinde verilmiştir.
Sonraki Adımlar