分享方式:


針對 Azure 金鑰保存庫存取原則問題進行疑難排解

常見問題集

我無法列出或取得祕密/金鑰/憑證。 我看到「發生錯誤...」錯誤

如果您在列出/取得/建立或存取秘密時遇到問題,請確定您已定義存取原則以執行該作業:金鑰保存庫存取原則

如何識別存取金鑰保存庫的方式和時間?

在建立一或多個金鑰保存庫之後,您可能會想要監視金鑰保存庫的存取方式、時間和存取者。 若要監視,您可以啟用 Azure Key Vault 的記錄功能,請在此深入了解啟用記錄功能的逐步指南。

如何監視金鑰保存庫的保存庫可用性、服務延遲期間或其他效能計量?

開始調整服務時,傳送至金鑰保存庫的要求數將會增加。 這項要求會增加要求的延遲,而且在極端情況下,會導致您的要求受到節流處理,進而降低服務效能。 您可以監視金鑰保存庫效能計量,並取得特定閾值的警示,請在此深入了解設定監視功能的逐步指南。

我無法修改存取原則,請問如何啟用?

使用者必須有足夠的 Microsoft Entra 權限才能修改存取原則。 在此情況下,使用者必須擁有較高的參與者角色。

我看到「未知的原則」錯誤。 這是什麼意思?

您會在 [未知] 區段中看到存取原則,有兩個可能的原因:

  • 先前的使用者具有存取權限,但該使用者已不存在。
  • 該存取原則是透過 PowerShell 新增,使用的是應用程式 objectid 而非服務主體。

如何為每個金鑰保存庫物件指派存取控制?

應避免在個別金鑰、祕密和憑證上指派角色。 一般指導的例外狀況:

必須在多個應用程式之間共用個別祕密的案例,例如,某個應用程式需要從另一個應用程式存取資料

如何使用存取控制原則來提供金鑰保存庫驗證?

若要驗證 Key Vault 的雲端式應用程式,最簡單的方法是使用受控識別;如需詳細資訊,請參閱向 Azure Key Vault 進行驗證。 如果您要建立內部部署應用程式、進行本機開發,或無法使用受控識別,則可以改為以手動方式註冊服務主體,並使用存取控制原則提供金鑰保存庫的存取權。 請參閱指派存取控制原則

如何為 AD 群組授與金鑰保存庫的存取權?

使用 Azure CLI 的 az keyvault set-policy 命令或 Azure PowerShell 的 Set-AzKeyVaultAccessPolicy Cmdlet,為 AD 群組授與金鑰保存庫的權限。 請參閱指派存取原則 - CLI指派存取原則 - PowerShell

應用程式也需要至少一個指派給金鑰保存庫的身分識別與存取管理 (IAM) 角色。 否則,應用程式將無法登入,且將會因為沒有足夠的權限可存取訂用帳戶而失敗。 具有受控識別的 Microsoft Entra 群組可能需要數小時才能重新整理權杖並生效。 請參閱使用受控識別進行授權的限制

如何使用 ARM 範本重新部署 Key Vault,而不需要刪除現有的存取原則?

目前只要重新部署 Key Vault,就會刪除 Key Vault 中的任何存取原則,並將其取代為 ARM 範本中的存取原則。 Key Vault 存取原則沒有累加選項。 若要在 Key Vault 中保留存取原則,您必須在 Key Vault 中讀取現有的存取原則,並以這些原則填入 ARM 範本,以避免任何存取中斷。

另一個有助於此案例的選項是使用 Azure RBAC 和角色做為存取原則的替代方案。 使用 Azure RBAC,您可以重新部署金鑰保存庫,而無須再次指定原則。 您可以在這裡深入閱讀此解決方案。

當金鑰保存庫受到節流處理時,我應該執行哪些最佳做法?

請遵循此處所記載的最佳做法

後續步驟

了解如何對金鑰保存庫驗證錯誤進行疑難排解:Key Vault 疑難排解指南