Řešení potíží se zásadami přístupu ke službě Azure Key Vault
Nejčastější dotazy
Nemůžu vypsat nebo získat tajné kódy, klíče nebo certifikáty. Zobrazuje se chyba "Něco se nepovedlo"
Pokud máte potíže s výpisem, získáním nebo vytvořením tajného kódu nebo přístupem k tajnému kódu, ujistěte se, že máte definované zásady přístupu k této operaci: Zásady přístupu ke službě Key Vault
Jak zjistím, jak a kdy se k trezorům klíčů přistupuje?
Po vytvoření jednoho nebo více trezorů klíčů budete pravděpodobně chtít monitorovat, jak a kdy se k trezorům klíčů přistupuje a kdo. Monitorování můžete provést povolením protokolování pro Azure Key Vault, kde najdete podrobného průvodce povolením protokolování, přečtěte si další informace.
Jak můžu monitorovat dostupnost trezoru, období latence služby nebo jiné metriky výkonu pro trezor klíčů?
Když začnete škálovat službu, zvýší se počet požadavků odeslaných do trezoru klíčů. Taková poptávka může zvýšit latenci vašich požadavků a v extrémních případech způsobit omezování požadavků, což sníží výkon vaší služby. Můžete monitorovat metriky výkonu trezoru klíčů a upozorňovat na konkrétní prahové hodnoty, podrobný průvodce konfigurací monitorování a další informace.
Nemůžu upravit zásady přístupu, jak je možné je povolit?
Uživatel musí mít dostatečná oprávnění Microsoft Entra k úpravě zásad přístupu. V takovém případě by uživatel musel mít vyšší roli přispěvatele.
Zobrazuje se mi chyba Neznámá zásada. Co to znamená?
Existují dva důvody, proč se v části Neznámé můžou zobrazit zásady přístupu:
- Předchozí uživatel měl přístup, ale tento uživatel již neexistuje.
- Zásady přístupu byly přidány prostřednictvím PowerShellu s použitím id objektu aplikace místo instančního objektu.
Jak můžu přiřadit řízení přístupu pro jednotlivé objekty trezoru klíčů?
Přiřazování rolí pro jednotlivé klíče, tajné klíče a certifikáty by se mělo vyhnout. Výjimky z obecných pokynů:
Scénáře, kdy musí být jednotlivé tajné kódy sdíleny mezi více aplikacemi, například jedna aplikace potřebuje přístup k datům z druhé aplikace
Jak můžu poskytnout ověřování trezoru klíčů pomocí zásad řízení přístupu?
Nejjednodušší způsob, jak ověřit cloudovou aplikaci ve službě Key Vault, je spravovaná identita; Podrobnosti najdete v tématu Ověřování ve službě Azure Key Vault . Pokud vytváříte místní aplikaci, provádíte místní vývoj nebo jinak nemůžete použít spravovanou identitu, můžete místo toho zaregistrovat instanční objekt ručně a poskytnout přístup k trezoru klíčů pomocí zásad řízení přístupu. Viz Přiřazení zásad řízení přístupu.
Jak můžu skupině AD udělit přístup k trezoru klíčů?
Pomocí příkazu Azure CLI az keyvault set-policy
nebo rutiny Azure PowerShell Set-AzKeyVaultAccessPolicy udělte skupině AD oprávnění k trezoru klíčů. Viz Přiřazení zásad přístupu – rozhraní příkazového řádku a přiřazení zásad přístupu – PowerShell.
Aplikace musí také mít k trezoru klíčů přiřazenou alespoň jednu roli Správy identit a přístup (IAM). Jinak se nebude moct přihlásit a selže kvůli nedostatečným oprávněním pro přístup k předplatnému. Skupiny Microsoft Entra se spravovanými identitami můžou vyžadovat mnoho hodin, než se tokeny aktualizují a začnou platit. Viz Omezení používání spravovaných identit pro autorizaci
Jak můžu znovu nasadit key Vault pomocí šablony ARM, aniž bych odstranil existující zásady přístupu?
V současné době služba Key Vault znovu nasazuje všechny zásady přístupu ve službě Key Vault a nahrazuje je zásadami přístupu v šabloně ARM. Pro zásady přístupu ke službě Key Vault neexistuje žádná přírůstková možnost. Pokud chcete zachovat zásady přístupu ve službě Key Vault, musíte číst stávající zásady přístupu ve službě Key Vault a naplnit šablony ARM těmito zásadami, abyste se vyhnuli výpadkům přístupu.
Další možností, která může pomoct pro tento scénář, je použití Azure RBAC a rolí jako alternativy k zásadám přístupu. Pomocí Azure RBAC můžete trezor klíčů znovu nasadit bez opětovného zadání zásad. Další informace o tomto řešení najdete tady.
Doporučené kroky pro řešení potíží pro následující typy chyb
- HTTP 401: Neověřený požadavek – kroky pro řešení potíží
- HTTP 403: Nedostatečná oprávnění – kroky pro řešení potíží
- HTTP 429: Příliš mnoho požadavků – kroky pro řešení potíží
- Zkontrolujte, jestli jste odstranili oprávnění k přístupu k trezoru klíčů: Viz Přiřazení zásad přístupu – CLI, Přiřazení zásad přístupu – PowerShell nebo Přiřazení zásad přístupu – Portál.
- Pokud máte problém s ověřením v trezoru klíčů prostřednictvím kódu, použijte sadu SDK pro ověřování.
Jaké jsou osvědčené postupy, které mám implementovat při omezování trezoru klíčů?
Postupujte podle osvědčených postupů, které jsou popsané tady.
Další kroky
Zjistěte, jak řešit chyby ověřování trezoru klíčů: Průvodce odstraňováním potíží se službou Key Vault.