عيّن نهج الوصول إلى Key Vault

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يحدد نهج وصول Key Vault ما إذا كان يمكن لأمان أساسي أو أي مستخدم أو تطبيق أو مجموعة مستخدمين، إجراء عمليات مختلفة على أسرارKey Vault ومفاتيحهوشهاداته. يمكنك تعيين نُهج الوصول باستخدام مدخل Microsoft Azure أو CLI Azure أوAzure PowerShell.

يدعم مخزن المفتاح ما يصل إلى 1024 من إدخالات نهج الوصول، حيث يمنح كل إدخال مجموعة مميزة من الأذونات لمدير أمان معين. بسبب هذا القيد، نوصي بتعيين نُهج الوصول لمجموعات من المستخدمين، حيثما أمكن، بدلاً من المستخدمين الفرديين. يؤدي استخدام المجموعات إلى تسهيل إدارة الأذونات لعدة أشخاص في مؤسستك. لمزيد من المعلومات، راجع إدارة الوصول إلى الموارد والتطبيقات باستخدام مجموعات Microsoft Azure Active Directory

⁩مدخل Microsoft Azure⁧

تعيين نهج الوصول (CLI)

1. في مدخل Microsoft Azure، انتقل إلى مورد Key Vault.

2. ضمن "Settings"، حدد "Access policies"، ثم حدد "Add Access Policy" :

   

3. حدد الأذونات التي تريدها ضمن أذونات الشهادة، وأذونات المفتاحوالأذونات السرية. يمكنك أيضاً تحديد قالب يحتوي على مجموعات أذونات شائعة:

   

4. ضمن تحديد الأساسي، اختر الارتباط غير محدد لفتح جزء التحديد الرئيسي. أدخل اسم المستخدم أو التطبيق أو الخدمة الرئيسية في حقل البحث، وحدد النتيجة المناسبة، ثم اختر Select.

   

   إذا كنت تستخدم هوية مدارة للتطبيق، فابحث باسم التطبيق نفسه وحدده. (لمزيد من المعلومات حول أساسيات الأمان، راجع مصادقة Key Vault.

5. مرة أخرى في جزء إضافة نهج الوصول، حدد إضافة لحفظ نهج الوصول.

   

6. مرة أخرى على صفحة نهج الوصول، تحقق من إدراج نهج الوصول الخاص بك ضمن نُهج الوصول الحالية، ثم حدد "Save" . لا تطبق نهج الوصول حتى تحفظها.

   

Azure CLI

لمزيد من المعلومات حول إنشاء مجموعات في Azure Active Directory باستخدام Azure CLI، راجع ⁧⁩ إنشاء المجموعة الإعلانية من الألف إلى الياء ⁧⁩، و⁧⁩ إضافة عضو المجموعة الإعلانية ⁧⁩.

قم بتكوين Azure CLI، وقم بتسجيل الدخول

1. لتشغيل أوامر Azure CLI محلياً، قم بتثبيت ⁧⁩ Azure CLI ⁧⁩.

   لتشغيل الأوامر مباشرة عبر السحابة استخدم Azure Cloud Shell.

2. CLI المحلي فقط: سجّل الدخول إلى Azure باستخدام ⁧az login⁩:

   az login
   

   يفتح الأمر ⁧az login⁩ نافذة مستعرض لجمع بيانات الاعتماد إذا لزم الأمر.

الحصول على معرف الكائن

تحديد معرف العنصر للتطبيق أو المجموعة أو المستخدم الذي تريد تعيين نهج الوصول إليه:

• التطبيقات ومبادئ الخدمة الأخرى: استخدم الأمر ⁧⁩ az ad sp list ⁧⁩ لاسترداد مبادئ الخدمة. افحص إخراج الأمر لتحديد معرف الكائن لمبدأ الأمان الذي تريد تعيين نهج الوصول إليه.

  az ad sp list --show-mine
  

• المجموعات: استخدم الأمر ⁧⁩ az ad group list ⁧⁩، لتصفية النتائج باستخدام المعلمة ⁧--display-name⁩:

  az ad group list --display-name <search-string>
  

• المستخدمون: استخدم الأمر ⁧⁩ az ad user show ⁧⁩، لتمرير عنوان البريد الإلكتروني للمستخدم في المعلمة ⁧--id⁩:

  az ad user show --id <email-address-of-user>
  

تعيين نهج الوصول

استخدم الأمر ⁧⁩ az keyvault set-policy ⁧⁩ لتعيين الأذونات المطلوبة:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

استبدل ⁧<object-id>⁩ بمعرف الكائن لمبدأ الأمان الخاص بك.

تحتاج فقط إلى تضمين --secret-permissionsو--key-permissionsو--certificate-permissions عند تعيين أذونات لهذه الأنواع المعينة. يتم توفير القيم المسموح بها لـ ⁧<secret-permissions>⁩، ⁧<key-permissions>⁩، و⁧<certificate-permissions>⁩ في وثائق ⁧⁩ نهج مجموعة مفاتيح az keyvault ⁧⁩.

Azure PowerShell

لمزيد من المعلومات حول إنشاء مجموعات في Azure Active Directory باستخدام Azure PowerShell، راجع New-AzureADGroupوAdd-AzADGroupMember.

تكوين PowerShell وتسجيل الدخول

1. لتشغيل الأوامر محلياً، ثبت Azure PowerShell إذا لم تكن قد قمت بذلك بالفعل.

   لتشغيل الأوامر مباشرة عبر السحابة استخدم Azure Cloud Shell.

2. PowerShell المحلي فقط:

   1. ثبت وحدة Microsoft Azure Active Directory PowerShell.

   2. تسجيل الدخول إلى Azure:

      Login-AzAccount
      

الحصول على معرف كائن

تحديد معرف العنصر للتطبيق أو المجموعة أو المستخدم الذي تريد تعيين نهج الوصول إليه:

• للتطبيقات ومبادئ الخدمة الأخرى: استخدم Get-AzADServicePrincipal cmdlet مع -SearchString مُعلمة لتصفية النتائج إلى اسم مبدأ الخدمة المطلوبة:

  Get-AzADServicePrincipal -SearchString <search-string>
  

• المجموعات: استخدام cmdlet Get-AzADGroup مع -SearchString المعلمة لتصفية النتائج إلى اسم المجموعة المطلوبة:

  Get-AzADGroup -SearchString <search-string>
  

  في الإخراج، يتم سرد معرف العنصر كـ Id.

• المستخدمين: استخدام Get-AzADUsercmdlet لتمرير عنوان البريد الإلكتروني للمستخدم إلى مُعلمة -UserPrincipalName.

   Get-AzAdUser -UserPrincipalName <email-address-of-user>
  

  في الإخراج، يتم سرد معرف العنصر كـ Id.

تعيين نهج الوصول

استخدم Set-AzKeyVaultAccessPolicycmdlet لتعيين نهج الوصول:

Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions    

تحتاج فقط إلى تضمين -PermissionsToSecretsو-PermissionsToKeysو-PermissionsToCertificates عند تعيين أذونات لهذه الأنواع المعينة. ترد القيم المسموح بها لـ <secret-permissions><key-permissions><certificate-permissions> في وثائق Set-AzKeyVaultAccessPolicy- المُعلمات.

الخطوات التالية

• أمان Azure Key Vault
• دليل مطورAzure Key Vault