Vaults - Update Access Policy

參考

Service:: Key Vault

API Version:: 2022-07-01

更新指定訂用帳戶中金鑰保存庫中的存取原則。

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.KeyVault/vaults/{vaultName}/accessPolicies/{operationKind}?api-version=2022-07-01

URI 參數

名稱	位於	必要	類型	Description
operationKind	path	True	AccessPolicyUpdateKind	作業名稱
resourceGroupName	path	True	string	保存庫所屬的資源群組名稱。
subscriptionId	path	True	string	可唯一識別 Microsoft Azure 訂用帳戶的訂用帳戶認證。訂用帳戶識別碼會構成每個服務呼叫 URI 的一部分。
vaultName	path	True	string	保存庫名稱 Regex pattern: `^[a-zA-Z0-9-]{3,24}$`
api-version	query	True	string	用戶端 API 版本。

要求本文

名稱	必要	類型	Description
properties	True	VaultAccessPolicyProperties	存取原則的屬性

回應

名稱	類型	Description
200 OK	VaultAccessPolicyParameters	更新的存取原則
201 Created	VaultAccessPolicyParameters	更新的存取原則
Other Status Codes	CloudError	描述作業失敗原因的錯誤回應。

範例

Add an access policy, or update an access policy with new permissions

PUT https://management.azure.com/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/sample-group/providers/Microsoft.KeyVault/vaults/sample-vault/accessPolicies/add?api-version=2022-07-01

{
  "properties": {
    "accessPolicies": [
      {
        "tenantId": "00000000-0000-0000-0000-000000000000",
        "objectId": "00000000-0000-0000-0000-000000000000",
        "permissions": {
          "keys": [
            "encrypt"
          ],
          "secrets": [
            "get"
          ],
          "certificates": [
            "get"
          ]
        }
      }
    ]
  }
}

from azure.identity import DefaultAzureCredential
from azure.mgmt.keyvault import KeyVaultManagementClient

"""
# PREREQUISITES
    pip install azure-identity
    pip install azure-mgmt-keyvault
# USAGE
    python update_access_policies_add.py

    Before run the sample, please set the values of the client ID, tenant ID and client secret
    of the AAD application as environment variables: AZURE_CLIENT_ID, AZURE_TENANT_ID,
    AZURE_CLIENT_SECRET. For more info about how to get the value, please see:
    https://docs.microsoft.com/azure/active-directory/develop/howto-create-service-principal-portal
"""


def main():
    client = KeyVaultManagementClient(
        credential=DefaultAzureCredential(),
        subscription_id="00000000-0000-0000-0000-000000000000",
    )

    response = client.vaults.update_access_policy(
        resource_group_name="sample-group",
        vault_name="sample-vault",
        operation_kind="add",
        parameters={
            "properties": {
                "accessPolicies": [
                    {
                        "objectId": "00000000-0000-0000-0000-000000000000",
                        "permissions": {"certificates": ["get"], "keys": ["encrypt"], "secrets": ["get"]},
                        "tenantId": "00000000-0000-0000-0000-000000000000",
                    }
                ]
            }
        },
    )
    print(response)


# x-ms-original-file: specification/keyvault/resource-manager/Microsoft.KeyVault/stable/2022-07-01/examples/updateAccessPoliciesAdd.json
if __name__ == "__main__":
    main()

To use the Azure SDK library in your project, see this documentation. To provide feedback on this code sample, open a GitHub issue

Sample Response

Status code:: 200

{
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/sample-group/providers/Microsoft.KeyVault/vaults/sample-vault/accessPolicies/",
  "type": "Microsoft.KeyVault/vaults/accessPolicies",
  "properties": {
    "accessPolicies": [
      {
        "tenantId": "00000000-0000-0000-0000-000000000000",
        "objectId": "00000000-0000-0000-0000-000000000000",
        "permissions": {
          "keys": [
            "encrypt"
          ],
          "secrets": [
            "get"
          ],
          "certificates": [
            "get"
          ]
        }
      }
    ]
  }
}

Status code:: 201

{
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/sample-group/providers/Microsoft.KeyVault/vaults/sample-vault/accessPolicies/",
  "type": "Microsoft.KeyVault/vaults/accessPolicies",
  "properties": {
    "accessPolicies": [
      {
        "tenantId": "00000000-0000-0000-0000-000000000000",
        "objectId": "00000000-0000-0000-0000-000000000000",
        "permissions": {
          "keys": [
            "encrypt"
          ],
          "secrets": [
            "get"
          ],
          "certificates": [
            "get"
          ]
        }
      }
    ]
  }
}

定義

名稱	Description
AccessPolicyEntry	可存取金鑰保存庫的身分識別。陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。
AccessPolicyUpdateKind	作業名稱
CertificatePermissions	憑證的許可權
CloudError	來自金鑰保存庫資源提供者的錯誤回應
CloudErrorBody	來自金鑰保存庫資源提供者的錯誤回應
KeyPermissions	金鑰的許可權
Permissions	身分識別對於金鑰、秘密、憑證和記憶體的許可權。
SecretPermissions	秘密的許可權
StoragePermissions	記憶體帳戶的許可權
VaultAccessPolicyParameters	更新保存庫中存取原則的參數
VaultAccessPolicyProperties	保存庫存取原則的屬性

AccessPolicyEntry

可存取金鑰保存庫的身分識別。陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。

名稱	類型	Description
applicationId	string	代表主體提出要求的用戶端應用程式標識碼
objectId	string	保存庫 Azure Active Directory 租用戶中用戶、服務主體或安全組的物件標識碼。存取原則清單的物件識別碼必須是唯一的。
permissions	Permissions	身分識別對於金鑰、秘密和憑證的許可權。
tenantId	string	應用來驗證金鑰保存庫要求的 Azure Active Directory 租使用者識別碼。

AccessPolicyUpdateKind

作業名稱

名稱	類型	Description
add	string
remove	string
replace	string

CertificatePermissions

憑證的許可權

名稱	類型	Description
all	string
backup	string
create	string
delete	string
deleteissuers	string
get	string
getissuers	string
import	string
list	string
listissuers	string
managecontacts	string
manageissuers	string
purge	string
recover	string
restore	string
setissuers	string
update	string

CloudError

來自金鑰保存庫資源提供者的錯誤回應

名稱	類型	Description
error	CloudErrorBody	來自金鑰保存庫資源提供者的錯誤回應

CloudErrorBody

來自金鑰保存庫資源提供者的錯誤回應

名稱	類型	Description
code	string	錯誤碼。這是可透過程序設計方式取用的助記鍵。
message	string	使用者易記的錯誤訊息。訊息通常會當地語系化，而且可能會隨服務版本而有所不同。

KeyPermissions

金鑰的許可權

名稱	類型	Description
all	string
backup	string
create	string
decrypt	string
delete	string
encrypt	string
get	string
getrotationpolicy	string
import	string
list	string
purge	string
recover	string
release	string
restore	string
rotate	string
setrotationpolicy	string
sign	string
unwrapKey	string
update	string
verify	string
wrapKey	string

Permissions

身分識別對於金鑰、秘密、憑證和記憶體的許可權。

名稱	類型	Description
certificates	CertificatePermissions[]	憑證的許可權
keys	KeyPermissions[]	金鑰的許可權
secrets	SecretPermissions[]	秘密的許可權
storage	StoragePermissions[]	記憶體帳戶的許可權

SecretPermissions

秘密的許可權

名稱	類型	Description
all	string
backup	string
delete	string
get	string
list	string
purge	string
recover	string
restore	string
set	string

StoragePermissions

記憶體帳戶的許可權

名稱	類型	Description
all	string
backup	string
delete	string
deletesas	string
get	string
getsas	string
list	string
listsas	string
purge	string
recover	string
regeneratekey	string
restore	string
set	string
setsas	string
update	string

VaultAccessPolicyParameters

更新保存庫中存取原則的參數

名稱	類型	Description
id	string	存取原則的資源標識碼。
location	string	存取原則的資源類型。
name	string	存取原則的資源名稱。
properties	VaultAccessPolicyProperties	存取原則的屬性
type	string	存取原則的資源名稱。

VaultAccessPolicyProperties

保存庫存取原則的屬性

名稱	類型	Description
accessPolicies	AccessPolicyEntry[]	0 到 16 個身分識別的數位，可存取金鑰保存庫。陣列中的所有身分識別都必須使用與密鑰保存庫租使用者識別元相同的租用戶標識碼。