När du använder behörighetsmodellen Åtkomstprincip kan en användare med Contributor, Key Vault Contributoreller någon annan roll som innehåller Microsoft.KeyVault/vaults/write behörigheter för nyckelvalvshanteringsplanet bevilja sig själva åtkomst till dataplanet genom att ange en åtkomstprincip för Key Vault. För att förhindra obehörig åtkomst och hantering av dina nyckelvalv, nycklar, hemligheter och certifikat är det viktigt att begränsa deltagarrollens åtkomst till nyckelvalv under behörighetsmodellen Åtkomstprincip. För att minska den här risken rekommenderar vi att du använder behörighetsmodellen rollbaserad åtkomstkontroll (RBAC), som begränsar behörighetshanteringen till rollerna "Ägare" och "Administratör för användaråtkomst", vilket ger en tydlig uppdelning mellan säkerhetsåtgärder och administrativa uppgifter. Mer information finns i Key Vault RBAC-guiden och Vad är Azure RBAC?
En Key Vault-åtkomstprincip avgör om ett visst säkerhetsobjekt, nämligen en användare, ett program eller en användargrupp, kan utföra olika åtgärder på Key Vault-hemligheter, nycklar och certifikat. Du kan tilldela åtkomstprinciper med hjälp av Azure Portal, Azure CLI eller Azure PowerShell.
Key Vault har stöd för upp till 1024 åtkomstprincipposter där varje post kan ha en specifik uppsättning behörigheter för ett visst säkerhetsobjekt. På grund av den här begränsningen rekommenderar vi att du tilldelar åtkomstprinciper till grupper av användare, där det är möjligt, i stället för enskilda användare. Med hjälp av grupper blir det mycket enklare att hantera behörigheter för flera personer i organisationen. Mer information finns i Hantera app- och resursåtkomst med hjälp av Microsoft Entra-grupper.
I Azure Portal navigerar du till Key Vault-resursen.
Välj Åtkomstprinciper och välj sedan Skapa:
Välj de behörigheter du vill ha under Nyckelbehörigheter, Hemliga behörigheter och Certifikatbehörigheter.
Under fönstret Principal selection (Huvudnamn ) anger du namnet på användaren, appen eller tjänstens huvudnamn i sökfältet och väljer lämpligt resultat.
Om du använder en hanterad identitet för appen söker du efter och väljer namnet på själva appen. (Mer information om säkerhetsobjekt finns i Key Vault-autentisering.
Granska ändringarna av åtkomstprincipen och välj Skapa för att spara åtkomstprincipen.
På sidan Åtkomstprinciper kontrollerar du att din åtkomstprincip visas.
Om du vill köra kommandon direkt i molnet använder du Azure Cloud Shell.
Endast lokalt CLI: logga in på Azure med :az login
az login
Kommandot az login öppnar ett webbläsarfönster för att samla in autentiseringsuppgifter om det behövs.
Hämta objekt-ID:t
Fastställ objekt-ID för programmet, gruppen eller användaren som du vill tilldela åtkomstprincipen till:
Program och andra tjänsthuvudnamn: använd kommandot az ad sp list för att hämta tjänstens huvudnamn. Granska utdata från kommandot för att fastställa objekt-ID för det säkerhetsobjekt som du vill tilldela åtkomstprincipen till.
Ersätt <object-id> med objekt-ID:t för ditt säkerhetsobjekt.
Du behöver bara inkludera --secret-permissions, --key-permissionsoch --certificate-permissions när du tilldelar behörigheter till dessa specifika typer. De tillåtna värdena för <secret-permissions>, <key-permissions>och <certificate-permissions> anges i dokumentationen az keyvault set-policy .
Fastställ objekt-ID för programmet, gruppen eller användaren som du vill tilldela åtkomstprincipen till:
Program och andra huvudnamn för tjänsten: Använd cmdleten Get-AzADServicePrincipal med parametern -SearchString för att filtrera resultatet till namnet på det önskade tjänstens huvudnamn:
Du behöver bara inkludera -PermissionsToSecrets, -PermissionsToKeysoch -PermissionsToCertificates när du tilldelar behörigheter till dessa specifika typer. De tillåtna värdena för <secret-permissions>, <key-permissions>och <certificate-permissions> anges i dokumentationen Set-AzKeyVaultAccessPolicy – Parameters .
