你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Vaults - Update Access Policy

参考

Service:: Key Vault

API Version:: 2022-07-01

更新指定订阅中密钥保管库中的访问策略。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.KeyVault/vaults/{vaultName}/accessPolicies/{operationKind}?api-version=2022-07-01

URI 参数

名称	在	必需	类型	说明
operationKind	path	True	AccessPolicyUpdateKind	操作的名称
resourceGroupName	path	True	string	保管库所属的资源组的名称。
subscriptionId	path	True	string	唯一标识 Microsoft Azure 订阅的订阅凭据。此订阅 ID 是每个服务调用的 URI 的一部分。
vaultName	path	True	string	保管库的名称 Regex pattern: `^[a-zA-Z0-9-]{3,24}$`
api-version	query	True	string	客户端 API 版本。

请求正文

名称	必需	类型	说明
properties	True	VaultAccessPolicyProperties	访问策略的属性

响应

名称	类型	说明
200 OK	VaultAccessPolicyParameters	更新的访问策略
201 Created	VaultAccessPolicyParameters	更新的访问策略
Other Status Codes	CloudError	描述操作失败原因的错误响应。

示例

Add an access policy, or update an access policy with new permissions

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/sample-group/providers/Microsoft.KeyVault/vaults/sample-vault/accessPolicies/add?api-version=2022-07-01

{
  "properties": {
    "accessPolicies": [
      {
        "tenantId": "00000000-0000-0000-0000-000000000000",
        "objectId": "00000000-0000-0000-0000-000000000000",
        "permissions": {
          "keys": [
            "encrypt"
          ],
          "secrets": [
            "get"
          ],
          "certificates": [
            "get"
          ]
        }
      }
    ]
  }
}

from azure.identity import DefaultAzureCredential
from azure.mgmt.keyvault import KeyVaultManagementClient

"""
# PREREQUISITES
    pip install azure-identity
    pip install azure-mgmt-keyvault
# USAGE
    python update_access_policies_add.py

    Before run the sample, please set the values of the client ID, tenant ID and client secret
    of the AAD application as environment variables: AZURE_CLIENT_ID, AZURE_TENANT_ID,
    AZURE_CLIENT_SECRET. For more info about how to get the value, please see:
    https://docs.microsoft.com/azure/active-directory/develop/howto-create-service-principal-portal
"""


def main():
    client = KeyVaultManagementClient(
        credential=DefaultAzureCredential(),
        subscription_id="00000000-0000-0000-0000-000000000000",
    )

    response = client.vaults.update_access_policy(
        resource_group_name="sample-group",
        vault_name="sample-vault",
        operation_kind="add",
        parameters={
            "properties": {
                "accessPolicies": [
                    {
                        "objectId": "00000000-0000-0000-0000-000000000000",
                        "permissions": {"certificates": ["get"], "keys": ["encrypt"], "secrets": ["get"]},
                        "tenantId": "00000000-0000-0000-0000-000000000000",
                    }
                ]
            }
        },
    )
    print(response)


# x-ms-original-file: specification/keyvault/resource-manager/Microsoft.KeyVault/stable/2022-07-01/examples/updateAccessPoliciesAdd.json
if __name__ == "__main__":
    main()

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Sample Response

Status code:: 200

{
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/sample-group/providers/Microsoft.KeyVault/vaults/sample-vault/accessPolicies/",
  "type": "Microsoft.KeyVault/vaults/accessPolicies",
  "properties": {
    "accessPolicies": [
      {
        "tenantId": "00000000-0000-0000-0000-000000000000",
        "objectId": "00000000-0000-0000-0000-000000000000",
        "permissions": {
          "keys": [
            "encrypt"
          ],
          "secrets": [
            "get"
          ],
          "certificates": [
            "get"
          ]
        }
      }
    ]
  }
}

Status code:: 201

{
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/sample-group/providers/Microsoft.KeyVault/vaults/sample-vault/accessPolicies/",
  "type": "Microsoft.KeyVault/vaults/accessPolicies",
  "properties": {
    "accessPolicies": [
      {
        "tenantId": "00000000-0000-0000-0000-000000000000",
        "objectId": "00000000-0000-0000-0000-000000000000",
        "permissions": {
          "keys": [
            "encrypt"
          ],
          "secrets": [
            "get"
          ],
          "certificates": [
            "get"
          ]
        }
      }
    ]
  }
}

定义

名称	说明
AccessPolicyEntry	有权访问密钥保管库的标识。数组中的所有标识都必须使用与密钥保管库的租户 ID 相同的租户 ID。
AccessPolicyUpdateKind	操作的名称
CertificatePermissions	对证书的权限
CloudError	密钥保管库资源提供程序的错误响应
CloudErrorBody	密钥保管库资源提供程序的错误响应
KeyPermissions	密钥权限
Permissions	标识对密钥、机密、证书和存储拥有的权限。
SecretPermissions	对机密的权限
StoragePermissions	存储帐户的权限
VaultAccessPolicyParameters	用于更新保管库中的访问策略的参数
VaultAccessPolicyProperties	保管库访问策略的属性

AccessPolicyEntry

有权访问密钥保管库的标识。数组中的所有标识都必须使用与密钥保管库的租户 ID 相同的租户 ID。

名称	类型	说明
applicationId	string	代表主体发出请求的客户端的应用程序 ID
objectId	string	保管库的 Azure Active Directory 租户中用户、服务主体或安全组的对象 ID。对于访问策略列表，对象 ID 必须是唯一的。
permissions	Permissions	标识对密钥、机密和证书拥有的权限。
tenantId	string	应用于对密钥保管库的请求进行身份验证的 Azure Active Directory 租户 ID。

AccessPolicyUpdateKind

操作的名称

名称	类型	说明
add	string
remove	string
replace	string

CertificatePermissions

对证书的权限

名称	类型	说明
all	string
backup	string
create	string
delete	string
deleteissuers	string
get	string
getissuers	string
import	string
list	string
listissuers	string
managecontacts	string
manageissuers	string
purge	string
recover	string
restore	string
setissuers	string
update	string

CloudError

密钥保管库资源提供程序的错误响应

名称	类型	说明
error	CloudErrorBody	密钥保管库资源提供程序的错误响应

CloudErrorBody

密钥保管库资源提供程序的错误响应

名称	类型	说明
code	string	错误代码。这是可以编程方式使用的助记键。
message	string	用户友好的错误消息。消息通常是本地化的，可能因服务版本而异。

KeyPermissions

密钥权限

名称	类型	说明
all	string
backup	string
create	string
decrypt	string
delete	string
encrypt	string
get	string
getrotationpolicy	string
import	string
list	string
purge	string
recover	string
release	string
restore	string
rotate	string
setrotationpolicy	string
sign	string
unwrapKey	string
update	string
verify	string
wrapKey	string

Permissions

标识对密钥、机密、证书和存储拥有的权限。

名称	类型	说明
certificates	CertificatePermissions[]	对证书的权限
keys	KeyPermissions[]	密钥权限
secrets	SecretPermissions[]	对机密的权限
storage	StoragePermissions[]	存储帐户的权限

SecretPermissions

对机密的权限

名称	类型	说明
all	string
backup	string
delete	string
get	string
list	string
purge	string
recover	string
restore	string
set	string

StoragePermissions

存储帐户的权限

名称	类型	说明
all	string
backup	string
delete	string
deletesas	string
get	string
getsas	string
list	string
listsas	string
purge	string
recover	string
regeneratekey	string
restore	string
set	string
setsas	string
update	string

VaultAccessPolicyParameters

用于更新保管库中的访问策略的参数

名称	类型	说明
id	string	访问策略的资源 ID。
location	string	访问策略的资源类型。
name	string	访问策略的资源名称。
properties	VaultAccessPolicyProperties	访问策略的属性
type	string	访问策略的资源名称。

VaultAccessPolicyProperties

保管库访问策略的属性

名称	类型	说明
accessPolicies	AccessPolicyEntry[]	0 到 16 个有权访问密钥保管库的标识数组。数组中的所有标识都必须使用与密钥保管库的租户 ID 相同的租户 ID。

通过