Kebijakan akses Key Vault menentukan apakah prinsip keamanan tertentu, yaitu pengguna, aplikasi, atau grup pengguna, dapat melakukan operasi yang berbeda pada Vault Utama rahasia, kunci, dan sertifikat. Anda dapat menetapkan kebijakan akses menggunakan Portal Azure, Azure CLI, atau Azure PowerShell.
Key Vault mendukung hingga 1024 entri kebijakan akses dengan setiap entri memberikan set izin yang berbeda untuk perwakilan keamanan tertentu. Karena pembatasan ini, sebaiknya tetapkan kebijakan akses ke grup pengguna, jika memungkinkan, daripada pengguna individu. Menggunakan grup mempermudah pengelolaan izin untuk beberapa orang di organisasi Anda. Untuk informasi selengkapnya, lihat Mengelola akses aplikasi dan sumber daya menggunakan grup Azure Active Directory
Pada Azure portal, buka sumber daya brankas kunci di Azure Portal.
Di bawahPengaturan, pilih Kebijakan akses , lalu pilih Tambahkan Kebijakan Akses:
Pilih izin yang Anda inginkan di bawah Izin sertifikat, Izin kunci, danizin Rahasia. Anda juga bisa memilih templat yang berisi kombinasi izin umum:
Di bawah Pilih utama,pilih link Tidak ada yang dipilih untuk membuka panel Pemilihan utama. Masukkan nama pengguna, aplikasi, atau perwakilan layanan di bidang pencarian, pilih hasil yang sesuai, lalu pilih Pilih.
Jika Anda menggunakan identitas terkelola untuk aplikasi, cari dan pilih nama aplikasi itu sendiri. (Untuk informasi selengkapnya tentang prinsip keamanan, lihat Autentikasi Key Vault.
Kembali di panel Tambahkan kebijakan akses, pilih Tambahkan untuk menyimpan kebijakan akses.
Kembali ke halaman Kebijakan akses, verifikasi bahwa kebijakan akses Anda tercantum di bawah Kebijakan Akses Saat Ini, lalu pilih Simpan. Kebijakan akses tidak diterapkan hingga Anda menyimpannya.
Untuk menjalankan perintah Azure CLI secara lokal, instal Azure CLI.
Untuk menjalankan perintah langsung di awan, gunakan Azure Cloud Shell.
CLI lokal saja: masuk ke Azure menggunakan az login :
az login
Perintah az login membuka jendela browser untuk mengumpulkan kredensial jika diperlukan.
Memperoleh ID objek
Tentukan ID objek aplikasi, grup, atau pengguna yang ingin Anda tetapkan kebijakan aksesnya:
Aplikasi dan perwakilan layanan lainnya: gunakan perintah daftar az ad sp untuk mengambil perwakilan layanan Anda. Periksa output perintah untuk menentukan ID objek dari prinsip keamanan yang ingin Anda tetapkan kebijakan aksesnya.
az ad sp list --show-mine
Grup: gunakan perintah az daftar grup iklan, memfilter hasil dengan --display-name parameter:
az ad group list --display-name <search-string>
Pengguna: gunakan perintah az tampilkan pengguna iklan yang meneruskan alamat email pengguna dalam --id parameter:
Ganti <object-id> dengan ID objek kepala keamanan Anda.
Anda hanya perlu menyertakan --secret-permissions,--key-permissions, dan --certificate-permissions ketika menetapkan izin untuk jenis tertentu. Nilai yang diperbolehkan untuk <secret-permissions>, <key-permissions>, dan <certificate-permissions> diberikan dalam dokumentasi set-policy az keyvault.
Untuk informasi selengkapnya tentang membuat grup di Azure Active Directory menggunakan Azure PowerShell, lihat New-AzureADGroup dan Add-AzADGroupMember.
Mengonfigurasi PowerShell dan masuk
Untuk menjalankan perintah secara lokal, instal Azure PowerShell jika Anda belum melakukannya.
Untuk menjalankan perintah langsung di awan, gunakan Azure Cloud Shell.
Tentukan ID objek aplikasi, grup, atau pengguna yang ingin Anda tetapkan kebijakan aksesnya:
Aplikasi dan prinsipal layanan lainnya: gunakan cmdlet Get-AzADServicePrincipal dengan -SearchString parameter untuk memfilter hasil dengan nama prinsipal layanan yang diinginkan:
Anda hanya perlu menyertakan -PermissionsToSecrets,-PermissionsToKeys, dan -PermissionsToCertificates ketika menetapkan izin untuk jenis tertentu. Nilai yang diperbolehkan untuk <secret-permissions>,<key-permissions> , dan diberikan dalam dokumentasi <certificate-permissions>Set-AzKeyVaultAccessPolicy - Parameters.
