Key Vault hozzáférési szabályzat hozzárendelése

A Key Vault hozzáférési szabályzat határozza meg, hogy egy adott rendszerbiztonsági tag, nevezetesen egy felhasználó, alkalmazás vagy felhasználói csoport különböző műveleteket hajthat-e végre Key Vault titkos kódokon, kulcsokon és tanúsítványokon. Hozzáférési szabályzatokat a Azure Portal, az Azure CLI vagy Azure PowerShell használatával rendelhet hozzá.

A Key Vault legfeljebb 1024 hozzáférésiszabályzat-bejegyzést támogat, és mindegyik bejegyzés külön engedélyeket ad egy adott rendszerbiztonsági tagnak. Emiatt a korlátozás miatt javasoljuk, hogy az egyes felhasználók helyett lehetőség szerint a felhasználói csoportokhoz rendeljen hozzáférési szabályzatokat. A csoportok használata sokkal egyszerűbbé teszi a szervezeten belüli több személy engedélyeinek kezelését. További információ: Alkalmazás- és erőforrás-hozzáférés kezelése Azure Active Directory csoportok használatával

Azure Portal

Hozzáférési szabályzat hozzárendelése

1. A Azure Portal keresse meg a Key Vault erőforrást.

2. A Gépház területen válassza a Hozzáférési szabályzatok, majd a Hozzáférési szabályzat hozzáadása lehetőséget:

   

3. Válassza ki a kívánt engedélyeket a Tanúsítványengedélyek, a Kulcsengedélyek és a Titkos kulcs engedélyek területen. Olyan sablont is kiválaszthat, amely közös engedélykombinációkat tartalmaz:

   

4. A Rendszerbiztonsági tag kiválasztása területen válassza a Nincs kijelölt hivatkozást az Egyszerű kijelölés panel megnyitásához. Írja be a felhasználó, alkalmazás vagy szolgáltatásnév nevét a keresőmezőbe, válassza ki a megfelelő találatot, majd válassza a Kiválasztás lehetőséget.

   

   Ha felügyelt identitást használ az alkalmazáshoz, keresse meg és válassza ki magának az alkalmazásnak a nevét. (További információ a rendszerbiztonsági tagokról: Key Vault hitelesítés.

5. A hozzáférési szabályzat hozzáadása panelen válassza a Hozzáadás lehetőséget a hozzáférési szabályzat mentéséhez.

   

6. A Hozzáférési szabályzatok lapra visszatérve ellenőrizze, hogy a hozzáférési szabályzat szerepel-e az Aktuális hozzáférési házirendek listában, majd válassza a Mentés lehetőséget. A hozzáférési szabályzatok csak a mentésük után lépnek érvénybe.

   

Azure CLI

További információ a csoportok Azure CLI-vel történő létrehozásáról Azure Active Directory: az ad group create and az ad group member add.

Az Azure CLI konfigurálása és bejelentkezés

1. Az Azure CLI-parancsok helyi futtatásához telepítse az Azure CLI-t.

   A parancsok közvetlenül a felhőben való futtatásához használja az Azure Cloud Shell.

2. Csak helyi parancssori felület: jelentkezzen be az Azure-ba a következő használatával az login:

   az login
   

   A az login parancs megnyit egy böngészőablakot, amely szükség esetén összegyűjti a hitelesítő adatokat.

Az objektumazonosító beszerzése

Határozza meg annak az alkalmazásnak, csoportnak vagy felhasználónak az objektumazonosítóját, amelyhez a hozzáférési szabályzatot hozzá szeretné rendelni:

• Alkalmazások és más szolgáltatásnevek: az az ad sp list paranccsal kérje le a szolgáltatásneveket. Vizsgálja meg a parancs kimenetét annak a rendszerbiztonsági tagnak az objektumazonosítójának meghatározásához, amelyhez a hozzáférési szabályzatot hozzá szeretné rendelni.

  az ad sp list --show-mine
  

• Csoportok: használja az az ad group list parancsot, és szűrje az eredményeket a --display-name következő paraméterrel:

  az ad group list --display-name <search-string>
  

• Felhasználók: használja az az ad user show parancsot, és adja meg a felhasználó e-mail-címét a --id paraméterben:

  az ad user show --id <email-address-of-user>
  

A hozzáférési szabályzat hozzárendelése

A kívánt engedélyek hozzárendeléséhez használja az az keyvault set-policy parancsot:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

Cserélje le <object-id> a rendszerbiztonsági tag objektumazonosítójára.

Csak a --secret-permissions, --key-permissions, és --certificate-permissions amikor engedélyeket rendel az adott típusokhoz. A , <key-permissions><certificate-permissions> és az az keyvault set-policy dokumentációjában megadott engedélyezett értékek<secret-permissions>.

Azure PowerShell

További információ a csoportok Azure Active Directory Azure PowerShell használatával történő létrehozásáról: New-AzureADGroup és Add-AzADGroupMember.

A PowerShell és a bejelentkezés konfigurálása

1. A parancsok helyi futtatásához telepítse Azure PowerShell, ha még nem tette meg.

   A parancsok közvetlenül a felhőben való futtatásához használja az Azure Cloud Shell.

2. Csak helyi PowerShell:

   1. Telepítse a Azure Active Directory PowerShell-modult.

   2. Jelentkezzen be az Azure-ba:

      Login-AzAccount
      

Az objektumazonosító beszerzése

Határozza meg annak az alkalmazásnak, csoportnak vagy felhasználónak az objektumazonosítóját, amelyhez a hozzáférési szabályzatot hozzá szeretné rendelni:

• Alkalmazások és más szolgáltatásnevek: használja a Get-AzADServicePrincipal parancsmagot a paraméterrel, -SearchString hogy az eredményeket a kívánt szolgáltatásnév nevére szűrje:

  Get-AzADServicePrincipal -SearchString <search-string>
  

• Csoportok: a Get-AzADGroup parancsmag és a -SearchString paraméter használatával szűrje az eredményeket a kívánt csoport nevére:

  Get-AzADGroup -SearchString <search-string>
  

  A kimenetben az objektumazonosító a következőképpen Idjelenik meg.

• Felhasználók: használja a Get-AzADUser parancsmagot, és adja át a felhasználó e-mail-címét a -UserPrincipalName paraméternek.

   Get-AzAdUser -UserPrincipalName <email-address-of-user>
  

  A kimenetben az objektumazonosító a következőképpen Idjelenik meg.

A hozzáférési szabályzat hozzárendelése

A hozzáférési szabályzat hozzárendeléséhez használja a Set-AzKeyVaultAccessPolicy parancsmagot:

Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions    

Csak a -PermissionsToSecrets, -PermissionsToKeys, és -PermissionsToCertificates amikor engedélyeket rendel az adott típusokhoz. A , <key-permissions><certificate-permissions> és a Set-AzKeyVaultAccessPolicy - Parameters dokumentációban megadott engedélyezett értékek<secret-permissions>.

Következő lépések

• Az Azure Key Vault biztonsága
• Az Azure Key Vault fejlesztői útmutatója