Viktigt!
När du använder behörighetsmodellen Åtkomstprincip kan en användare med Contributor, Key Vault Contributoreller någon annan roll som innehåller Microsoft.KeyVault/vaults/write behörigheter för nyckelvalvshanteringsplanet bevilja sig själva åtkomst till dataplanet genom att ange en åtkomstprincip för Key Vault. För att förhindra obehörig åtkomst och hantering av dina nyckelvalv, nycklar, hemligheter och certifikat är det viktigt att begränsa deltagarrollens åtkomst till nyckelvalv under behörighetsmodellen Åtkomstprincip. För att minska den här risken rekommenderar vi att du använder behörighetsmodellen rollbaserad åtkomstkontroll (RBAC), som begränsar behörighetshanteringen till rollerna "Ägare" och "Administratör för användaråtkomst", vilket ger en tydlig uppdelning mellan säkerhetsåtgärder och administrativa uppgifter. Mer information finns i Key Vault RBAC-guiden och Vad är Azure RBAC?
En Key Vault-åtkomstprincip avgör om ett visst säkerhetsobjekt, nämligen en användare, ett program eller en användargrupp, kan utföra olika åtgärder på Key Vault-hemligheter, nycklar och certifikat. Du kan tilldela åtkomstprinciper med hjälp av Azure Portal, Azure CLI eller Azure PowerShell.
Key Vault har stöd för upp till 1024 åtkomstprincipposter där varje post kan ha en specifik uppsättning behörigheter för ett visst säkerhetsobjekt. På grund av den här begränsningen rekommenderar vi att du tilldelar åtkomstprinciper till grupper av användare, där det är möjligt, i stället för enskilda användare. Med hjälp av grupper blir det mycket enklare att hantera behörigheter för flera personer i organisationen. Mer information finns i Hantera app- och resursåtkomst med hjälp av Microsoft Entra-grupper.
Tilldela en åtkomstprincip
I Azure Portal navigerar du till Key Vault-resursen.
Välj Åtkomstprinciper och välj sedan Skapa:
Välj de behörigheter du vill ha under Nyckelbehörigheter, Hemliga behörigheter och Certifikatbehörigheter.
Under fönstret Principal selection (Huvudnamn ) anger du namnet på användaren, appen eller tjänstens huvudnamn i sökfältet och väljer lämpligt resultat.
Om du använder en hanterad identitet för appen söker du efter och väljer namnet på själva appen. (Mer information om säkerhetsprinciper finns i Key Vault-autentisering.
Granska ändringarna av åtkomstprincipen och välj Skapa för att spara åtkomstprincipen.
På sidan Åtkomstprinciper kontrollerar du att din åtkomstprincip visas.
Mer information om hur du skapar grupper i Microsoft Entra-ID med hjälp av Azure CLI finns i az ad group create and az ad group member add.
Installera Azure CLI för att köra Azure CLI-kommandon lokalt.
Om du vill köra kommandon direkt i molnet använder du Azure Cloud Shell.
Endast lokalt CLI: logga in på Azure med :az login
az login
Kommandot az login öppnar ett webbläsarfönster för att samla in autentiseringsuppgifter om det behövs.
Hämta objekt-ID:t
Fastställ objekt-ID för programmet, gruppen eller användaren som du vill tilldela åtkomstprincipen till:
Program och andra tjänsthuvudnamn: använd kommandot az ad sp list för att hämta tjänstens huvudnamn. Granska utdata från kommandot för att fastställa objekt-ID för det säkerhetsobjekt som du vill tilldela åtkomstprincipen till.
az ad sp list --show-mine
Grupper: Använd kommandot az ad group list och filtrera resultatet med parametern --display-name :
az ad group list --display-name <search-string>
Användare: använd kommandot az ad user show och skicka användarens e-postadress i parametern --id :
az ad user show --id <email-address-of-user>
Tilldela åtkomstpolicyn
Använd kommandot az keyvault set-policy för att tilldela önskade behörigheter:
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>
Ersätt <object-id> med objekt-ID:t för ditt säkerhetsobjekt.
Du behöver bara inkludera --secret-permissions, --key-permissionsoch --certificate-permissions när du tilldelar behörigheter till dessa specifika typer. De tillåtna värdena för <secret-permissions>, <key-permissions>och <certificate-permissions> anges i dokumentationen az keyvault set-policy .
Mer information om hur du skapar grupper i Microsoft Entra-ID med Azure PowerShell finns i New-AzADGroup och Add-AzADGroupMember.
Om du vill köra kommandon lokalt installerar du Azure PowerShell om du inte redan har gjort det.
Om du vill köra kommandon direkt i molnet använder du Azure Cloud Shell.
Lokalt endast PowerShell:
Installera Azure Active Directory PowerShell-modulen.
Logga in på Azure:
Connect-AzAccount
Hämta objekt-ID:t
Fastställ objekt-ID för programmet, gruppen eller användaren som du vill tilldela åtkomstprincipen till:
Program och andra huvudnamn för tjänsten: Använd cmdleten Get-AzADServicePrincipal med parametern -SearchString för att filtrera resultatet till namnet på det önskade tjänstens huvudnamn:
Get-AzADServicePrincipal -SearchString <search-string>
Grupper: Använd cmdleten Get-AzADGroup med parametern -SearchString för att filtrera resultaten till namnet på önskad grupp:
Get-AzADGroup -SearchString <search-string>
I utdata visas objekt-ID:t som Id.
Användare: använd cmdleten Get-AzADUser och skicka användarens e-postadress till parametern -UserPrincipalName .
Get-AzAdUser -UserPrincipalName <email-address-of-user>
I utdata visas objekt-ID:t som Id.
Tilldela åtkomstpolicy
Använd cmdleten Set-AzKeyVaultAccessPolicy för att tilldela åtkomstprincipen:
Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions
Du behöver bara inkludera -PermissionsToSecrets, -PermissionsToKeysoch -PermissionsToCertificates när du tilldelar behörigheter till dessa specifika typer. De tillåtna värdena för <secret-permissions>, <key-permissions>och <certificate-permissions> anges i dokumentationen Set-AzKeyVaultAccessPolicy – Parameters .
Nästa steg