Key Vault erişim ilkesi atama (eski)

Key Vault erişim ilkesi, belirli bir güvenlik sorumlusuna (kullanıcı, uygulama veya kullanıcı grubu) Key Vault gizli dizileri, anahtarları ve sertifikaları üzerinde farklı işlemler gerçekleştirip gerçekleştiremeyeceğini belirler. Erişim ilkelerini Azure portalını, Azure CLI'yı veya Azure PowerShell'i kullanarak atayabilirsiniz.

Key Vault, her biri belirli bir güvenlik sorumlusuna bir dizi benzersiz izin kümesi sağlayan en fazla 1024 erişim ilkesi girişini destekler. Bu sınırlama nedeniyle, mümkün olduğunda tek tek kullanıcılar yerine kullanıcı gruplarına erişim ilkeleri atamanızı öneririz. Grupları kullanmak, kuruluşunuzdaki birden çok kişinin izinlerini yönetmeyi çok daha kolay hale getirir. Daha fazla bilgi için bkz . Microsoft Entra gruplarını kullanarak uygulama ve kaynak erişimini yönetme.

Azure portalı

Erişim ilkesi atama

1. Azure portalında Key Vault kaynağına gidin.

2. Erişim ilkeleri'ni ve ardından Oluştur'u seçin:

   

3. Anahtar izinleri, Gizli dizi izinleri ve Sertifika izinleri altında istediğiniz izinleri seçin.

   

4. Asıl seçim bölmesinin altında, arama alanına kullanıcı, uygulama veya hizmet sorumlusunun adını girin ve uygun sonucu seçin.

   

   Uygulama için yönetilen kimlik kullanıyorsanız, uygulamanın adını arayın ve seçin. (Güvenlik sorumluları hakkında daha fazla bilgi için bkz. Key Vault kimlik doğrulaması.

5. Erişim ilkesi değişikliklerini gözden geçirin ve erişim ilkesini kaydetmek için Oluştur'u seçin.

   

6. Erişim ilkeleri sayfasına dönüp erişim ilkenizin listelendiğini doğrulayın.

   

Azure CLI

Azure CLI kullanarak Microsoft Entra ID'de grup oluşturma hakkında daha fazla bilgi için bkz . az ad group create ve az ad group member add.

Azure CLI'yi yapılandırma ve oturum açma

1. Azure CLI komutlarını yerel olarak çalıştırmak için Azure CLI'yı yükleyin.

   Komutları doğrudan bulutta çalıştırmak için Azure Cloud Shell'i kullanın.

2. Yalnızca yerel CLI: kullanarak az loginAzure'da oturum açın:

   az login
   

   Komut, az login gerekirse kimlik bilgilerini toplamak için bir tarayıcı penceresi açar.

Nesne kimliğini alma

Erişim ilkesini atamak istediğiniz uygulamanın, grubun veya kullanıcının nesne kimliğini belirleyin:

• Uygulamalar ve diğer hizmet sorumluları: hizmet sorumlularınızı almak için az ad sp list komutunu kullanın. Erişim ilkesini atamak istediğiniz güvenlik sorumlusunun nesne kimliğini belirlemek için komutunun çıktısını inceleyin.

  az ad sp list --show-mine
  

• Gruplar: az ad group list komutunu kullanarak sonuçları parametresiyle --display-name filtreleyin:

  az ad group list --display-name <search-string>
  

• Kullanıcılar: az ad user show komutunu kullanarak kullanıcının e-posta adresini parametresine --id geçirin:

  az ad user show --id <email-address-of-user>
  

Erişim ilkesini atama

İstenen izinleri atamak için az keyvault set-policy komutunu kullanın:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

değerini güvenlik sorumlunuzun nesne kimliğiyle değiştirin <object-id> .

Bu türlere izin atarken yalnızca --secret-permissions, --key-permissionsve --certificate-permissions eklemeniz gerekir. , <key-permissions>ve <certificate-permissions> için <secret-permissions>izin verilen değerler az keyvault set-policy belgelerinde verilmiştir.

Azure PowerShell

Azure PowerShell kullanarak Microsoft Entra ID'de grup oluşturma hakkında daha fazla bilgi için bkz . New-AzADGroup ve Add-AzADGroupMember.

PowerShell'i yapılandırma ve oturum açma

1. Komutları yerel olarak çalıştırmak için henüz yapmadıysanız Azure PowerShell'i yükleyin.

   Komutları doğrudan bulutta çalıştırmak için Azure Cloud Shell'i kullanın.

2. Yalnızca yerel PowerShell:

   1. Azure Active Directory PowerShell modülünü yükleyin.

   2. Azure'da Oturum Açın:

      Connect-AzAccount
      

Nesne kimliğini alma

Erişim ilkesini atamak istediğiniz uygulamanın, grubun veya kullanıcının nesne kimliğini belirleyin:

• Uygulamalar ve diğer hizmet sorumluları: Sonuçları istenen hizmet sorumlusunun adına göre filtrelemek için Get-AzADServicePrincipal cmdlet'ini parametresiyle -SearchString birlikte kullanın:

  Get-AzADServicePrincipal -SearchString <search-string>
  

• Gruplar: Sonuçları istenen grubun adına göre filtrelemek için Get-AzADGroup cmdlet'ini parametresiyle -SearchString kullanın:

  Get-AzADGroup -SearchString <search-string>
  

  Çıktıda nesne kimliği olarak Idlistelenir.

• Kullanıcılar: Kullanıcının e-posta adresini parametresine geçirerek Get-AzADUser cmdlet'ini -UserPrincipalName kullanın.

   Get-AzAdUser -UserPrincipalName <email-address-of-user>
  

  Çıktıda nesne kimliği olarak Idlistelenir.

Erişim ilkesini atama

Erişim ilkesini atamak için Set-AzKeyVaultAccessPolicy cmdlet'ini kullanın:

Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions    

Bu türlere izin atarken yalnızca -PermissionsToSecrets, -PermissionsToKeysve -PermissionsToCertificates eklemeniz gerekir. , <key-permissions>ve <certificate-permissions> için <secret-permissions>izin verilen değerler Set-AzKeyVaultAccessPolicy - Parameters belgelerinde verilmiştir.

Sonraki adımlar

• Azure Key Vault güvenliği
• Azure Key Vault geliştirici kılavuzu