Concedere a molte applicazioni l'autorizzazione per accedere a Key Vault

D: Sono presenti più applicazioni (oltre 16) che devono accedere a Key Vault. Poiché Key Vault consente solo 16 voci di controllo di accesso, come è possibile ottenere procedere?

I criteri di controllo di accesso a Key Vault supportano solo 16 voci. È tuttavia possibile creare un gruppo di sicurezza di Azure Active Directory. Aggiungere tutte le entità servizio associate a questo gruppo di sicurezza e quindi concedere a tale gruppo di accedere a Key Vault.

Di seguito vengono indicati i prerequisiti:

Eseguire questi comandi in PowerShell.

# Connect to Azure AD 
Connect-AzureAD 

# Create Azure Active Directory Security Group 
$aadGroup = New-AzureADGroup -Description "Contoso App Group" -DisplayName "ContosoAppGroup" -MailEnabled 0 -MailNickName none -SecurityEnabled 1 

# Find and add your applications (ServicePrincipal ObjectID) as members to this group 
$spn = Get-AzureADServicePrincipal –SearchString "ContosoApp1" 
Add-AzureADGroupMember –ObjectId $aadGroup.ObjectId -RefObjectId $spn.ObjectId 

# You can add several members to this group, in this fashion. 

# Set the Key Vault ACLs 
Set-AzureRmKeyVaultAccessPolicy –VaultName ContosoVault –ObjectId $aadGroup.ObjectId -PermissionToKeys all –PermissionToSecrets all –PermissionToCertificates all 

# Of course you can adjust the permissions as required 

Se è necessario concedere un diverso set di autorizzazioni a un gruppo di applicazioni, creare un gruppo di sicurezza di Azure Active Directory separato per tali applicazioni.

Passaggi successivi

Altre informazioni su come proteggere Key Vault.