Azure portal を使用して Key Vault アクセス ポリシーを割り当てる

Key Vault アクセス ポリシーは、特定のセキュリティ プリンシパル (ユーザー、アプリケーション、またはユーザー グループ) が、Key Vault のシークレットキー、および証明書に対して、さまざまな操作を実行できるかどうかを決定します。 アクセス ポリシーは、Azure portal (この記事)、Azure CLI、または Azure PowerShell を使用して割り当てることができます。

キー コンテナーでは、最大 1,024 個のアクセス ポリシー エントリがサポートされており、各エントリでは、特定のセキュリティ プリンシパルに個別のアクセス許可セットを付与します。 このような制限があるため、可能な場合は、アクセス ポリシーを個別のユーザーではなく、ユーザーのグループに割り当てることをお勧めします。 グループを使用すると、組織内の複数のユーザーに対するアクセス許可を管理しやすくなります。 詳細については、「Azure Active Directory グループを使用してアプリとリソースへのアクセスを管理する」を参照してください。

Key Vault のアクセス制御の詳細については、Azure Key Vault セキュリティ機能の ID とアクセスの管理に関するセクションを参照してください。

Azure Active Directory での Azure portal を通じたグループの作成の詳細については、基本グループの作成とメンバーの追加に関する記事を参照してください。

アクセス ポリシーを割り当てる

  1. Azure portal で、Key Vault リソースに移動します。

  2. [設定][アクセス ポリシー] を選択し、 [アクセス ポリシーの追加] を選択します。

    [アクセス ポリシー] を選択し、[ロール割り当ての追加] を選択しています

  3. [証明書のアクセス許可][キーのアクセス許可] 、および [シークレットのアクセス許可] でアクセス許可を選択します。 一般的なアクセス許可の組み合わせが含まれるテンプレートを選択することもできます。

    アクセス ポリシーのアクセス許可を指定しています

  4. [プリンシパルの選択][選択なし] リンクを選択すると、 [プリンシパル] 選択ウィンドウが開きます。 検索フィールドにユーザー、アプリ、またはサービス プリンシパルの名前を入力し、適切な結果を選択したら、 [選択] を選択します。

    アクセス ポリシーのセキュリティ プリンシパルを選択

    アプリにマネージド ID を使用している場合は、アプリ自体の名前を検索して選択します。 (セキュリティ プリンシパルの詳細については、「Key Vault 認証」 を参照してください。

  5. [アクセス ポリシーの追加] ウィンドウに戻り、 [追加] を選択して、アクセス ポリシーを保存します。

    割り当てられたセキュリティ プリンシパルを使用してアクセス ポリシーを追加

  6. [アクセス ポリシー] ページに戻り、アクセス ポリシーが [現在のアクセス ポリシー] に表示されていることを確認したら、 [保存] を選択します。 アクセス ポリシーは、保存するまで適用されません。

    アクセス ポリシーの変更の保存

次のステップ