Azure Key Vault erişim ilkesi sorunlarını giderme

Sık sorulan sorular

Gizli dizileri/anahtarları/sertifikayı listeleyemiyor veya alamıyorum. "Bir sorun oluştu" hatası görüyorum

Gizli dizileri listeleme/alma/oluşturma veya erişme konusunda sorun yaşıyorsanız, bu işlemi yapmak için tanımlanmış erişim ilkesine sahip olduğunuzdan emin olun: Key Vault Erişim İlkeleri

Anahtar kasalarına nasıl ve ne zaman erişilir nasıl belirleyebilirim?

Bir veya daha fazla anahtar kasası oluşturduktan sonra, büyük olasılıkla anahtar kasalarınıza nasıl ve ne zaman ve kim tarafından erişilir izlemek istersiniz. Azure Key Vault için günlüğe kaydetmeyi etkinleştirerek izleme yapabilirsiniz. Günlüğe kaydetmeyi etkinleştirmeye yönelik adım adım kılavuz için daha fazla bilgi edinin.

Anahtar kasası için kasa kullanılabilirliğini, hizmet gecikme sürelerini veya diğer performans ölçümlerini nasıl izleyebilirim?

Hizmetinizi ölçeklendirmeye başladığınızda anahtar kasanıza gönderilen isteklerin sayısı artar. Bu talebin isteklerinizin gecikme süresini artırma olasılığı vardır ve aşırı durumlarda isteklerinizin kısıtlanması durumunda hizmetinizin performansını düşürebilir. İzlemeyi yapılandırmaya yönelik adım adım kılavuz için anahtar kasası performans ölçümlerini izleyebilir ve belirli eşikler için uyarı alabilirsiniz. Daha fazla bilgi edinin.

Erişim ilkesini değiştiremiyorum, nasıl etkinleştirilebilir?

Kullanıcının erişim ilkesini değiştirmek için yeterli Microsoft Entra izinlerine sahip olması gerekir. Bu durumda, kullanıcının daha yüksek katkıda bulunan rolüne sahip olması gerekir.

'Bilinmeyen İlke' hatası görüyorum. Bu ne anlama geliyor?

Bilinmeyen bölümünde erişim ilkesi görmenin iki nedeni vardır:

• Önceki bir kullanıcının erişimi vardı, ancak bu kullanıcı artık yok.
• Erişim ilkesi, hizmet sorumlusu yerine uygulama objectid değeri kullanılarak PowerShell aracılığıyla eklendi.

Anahtar kasası nesnesi başına erişim denetimini nasıl atayabilirim?

Tek tek anahtarlar, gizli diziler ve sertifikalar üzerinde rol atamaktan kaçınılmalıdır. Genel rehberliğe yönelik özel durumlar:

Tek tek gizli dizilerin birden çok uygulama arasında paylaşılması gereken senaryolar, örneğin, bir uygulamanın diğer uygulamadan verilere erişmesi gerekir

Erişim denetimi ilkesini kullanarak anahtar kasası kimlik doğrulamasını nasıl sağlayabilirim?

Key Vault'ta bulut tabanlı bir uygulamanın kimliğini doğrulamanın en basit yolu yönetilen kimlikledir; Ayrıntılar için bkz . Azure Key Vault'ta kimlik doğrulaması yapma. Şirket içi uygulama oluşturuyorsanız, yerel geliştirme yapıyorsanız veya başka bir şekilde yönetilen kimlik kullanamıyorsanız, bunun yerine bir hizmet sorumlusunu el ile kaydedebilir ve erişim denetimi ilkesi kullanarak anahtar kasanıza erişim sağlayabilirsiniz. Bkz. Erişim denetimi ilkesi atama.

AD grubuna anahtar kasasına nasıl erişim verebilirim?

Azure CLI az keyvault set-policy komutunu veya Azure PowerShell Set-AzKeyVaultAccessPolicy cmdlet'ini kullanarak AD grubuna anahtar kasanızda izin verin. Bkz . Erişim ilkesi atama - CLI ve Erişim ilkesi atama - PowerShell.

Ayrıca uygulama, anahtar kasasına en az bir Kimlik ve Erişim Yönetimi (IAM) rolü atanmasını da gerektirir. Aksi takdirde oturum açamaz ve aboneliğe erişim için haklar yetersiz olduğundan başarısız olur. Yönetilen Kimliklere sahip Microsoft Entra gruplarının belirteçleri yenilemesi ve etkili olması için saatler gerekebilir. Bkz. Yetkilendirme için yönetilen kimlikleri kullanma sınırlaması

Mevcut erişim ilkelerini silmeden Arm şablonuyla Key Vault'un yeniden dağıtımlarını nasıl yapabilirim?

Şu anda Key Vault yeniden dağıtımı, Key Vault'taki tüm erişim ilkelerini siler ve bunları ARM şablonundaki erişim ilkesiyle değiştirir. Key Vault erişim ilkeleri için artımlı seçenek yoktur. Key Vault'ta erişim ilkelerini korumak için, herhangi bir erişim kesintisini önlemek için Key Vault'taki mevcut erişim ilkelerini okumanız ve ARM şablonunu bu ilkelerle doldurmanız gerekir.

Bu senaryo için yardımcı olabilecek bir diğer seçenek de erişim ilkelerine alternatif olarak Azure RBAC ve rolleri kullanmaktır. Azure RBAC ile, ilkeyi yeniden belirtmeden anahtar kasasını yeniden dağıtabilirsiniz. Bu çözümü burada daha fazla okuyabilirsiniz.

Aşağıdaki hata türleri için önerilen sorun giderme adımları

• HTTP 401: Kimliği Doğrulanmamış İstek - Sorun giderme adımları
• HTTP 403: Yetersiz İzinler - Sorun giderme adımları
• HTTP 429: Çok Fazla İstek Var - Sorun giderme adımları
• Anahtar kasasına erişim iznini silip silmediğinize bakın: Bkz . Erişim ilkesi atama - CLI, Erişim ilkesi atama - PowerShell veya Erişim ilkesi atama - Portal.
• Kodda anahtar kasasının kimliğini doğrulama sorununuz varsa Kimlik Doğrulaması SDK’sını kullanın

Anahtar kasası kısıtlanırken uygulamam gereken en iyi yöntemler nelerdir?

Burada belgelenen en iyi yöntemleri izleyin

Sonraki Adımlar

Anahtar kasası kimlik doğrulaması hatalarını gidermeyi öğrenin: Key Vault Sorun Giderme Kılavuzu.