Key Vault 액세스 정책 할당Assign a Key Vault access policy

Key Vault 액세스 정책은 지정 된 서비스 주체 (즉, 응용 프로그램 또는 사용자 그룹)가 Key Vault 비밀, 인증서에 대해 다른 작업을 수행할 수 있는지 여부를 결정 합니다.A Key Vault access policy determines whether a given service principal, namely an application or user group, can perform different operations on Key Vault secrets, keys, and certificates. Azure Portal, Azure CLI (이 문서) 또는 Azure PowerShell를 사용 하 여 액세스 정책을 할당할 수 있습니다.You can assign access policies using the Azure portal, the Azure CLI (this article), or Azure PowerShell.

Key vault는 최대 1024 액세스 정책 항목을 지원 하며 각 항목은 특정 보안 주체에 대 한 고유한 권한 집합을 부여 합니다.Key vault supports up to 1024 access policy entries, with each entry granting a distinct set of permissions to a particular security principal. 이러한 제한 때문에 개별 사용자가 아닌 가능한 한 사용자 그룹에 액세스 정책을 할당 하는 것이 좋습니다.Because of this limitation, we recommend assigning access policies to groups of users, where possible, rather than individual users. 그룹을 사용 하면 조직의 여러 사용자에 대 한 사용 권한을 보다 쉽게 관리할 수 있습니다.Using groups makes it much easier to manage permissions for multiple people in your organization. 자세한 내용은 Azure Active Directory 그룹을 사용 하 여 앱 및 리소스 액세스 관리 를 참조 하세요.For more information, see Manage app and resource access using Azure Active Directory groups

Key Vault 액세스 제어에 대한 자세한 내용은 Azure Key Vault 보안: ID 및 액세스 관리를 참조하세요.For full details on Key Vault access control, see Azure Key Vault security: Identity and access management.

Azure CLI를 사용 하 여 Azure Active Directory에서 그룹을 만드는 방법에 대 한 자세한 내용은 az ad group createaz ad group member add를 참조 하세요.For more information on creating groups in Azure Active Directory using the Azure CLI, see az ad group create and az ad group member add.

Azure CLI 구성 및 로그인Configure the Azure CLI and sign in

  1. Azure CLI 명령을 로컬로 실행 하려면 Azure CLI를 설치 합니다.To run Azure CLI commands locally, install the Azure CLI.

    클라우드에서 직접 명령을 실행 하려면 Azure Cloud Shell을 사용 합니다.To run commands directly in the cloud, use the Azure Cloud Shell.

  2. 로컬 CLI만 해당: 다음을 사용 하 여 Azure에 로그인 합니다 az login .Local CLI only: sign in to Azure using az login:

    az login
    

    az login필요한 경우이 명령은 브라우저 창을 열어 자격 증명을 수집 합니다.The az login command opens a browser window to gather credentials if needed.

개체 ID 가져오기Acquire the object ID

액세스 정책을 할당 하려는 응용 프로그램, 그룹 또는 사용자의 개체 ID를 확인 합니다.Determine the object ID of the application, group, or user to which you want to assign the access policy:

  • 응용 프로그램 및 기타 서비스 사용자: az ad sp list 명령을 사용 하 여 서비스 사용자를 검색 합니다.Applications and other service principals: use the az ad sp list command to retrieve your service principals. 명령의 출력을 검토 하 여 액세스 정책을 할당 하려는 보안 주체의 개체 ID를 확인 합니다.Examine the output of the command to determine the object ID of the security principal to which you want to assign the access policy.

    az ad sp list --show-mine
    
  • 그룹: az ad group list 명령을 사용 하 여 매개 변수를 사용 하 여 결과를 필터링 합니다 --display-name .Groups: use the az ad group list command, filtering the results with the --display-name parameter:

    az ad group list --display-name <search-string>
    
  • 사용자: az ad user show 명령을 사용 하 여 사용자의 전자 메일 주소를 --id 매개 변수로 전달 합니다.Users: use the az ad user show command, passing the user's email address in the --id parameter:

    az ad user show --id <email-address-of-user>
    

액세스 정책 할당Assign the access policy

Az keyvault set-policy 명령을 사용 하 여 원하는 사용 권한을 할당 합니다.Use the az keyvault set-policy command to assign the desired permissions:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

<object-id>서비스 사용자의 개체 ID로 대체 합니다.Replace <object-id> with the object ID of your service principal.

--secret-permissions --key-permissions 특정 형식에 대 한 사용 권한을 할당 하는 경우, 및만 포함 해야 --certificate-permissions 합니다.You need only include --secret-permissions, --key-permissions, and --certificate-permissions when assigning permissions to those particular types. , 및에 허용 되는 값은 <secret-permissions> <key-permissions> <certificate-permissions> az keyvault set-policy 설명서에 제공 됩니다.The allowable values for <secret-permissions>, <key-permissions>, and <certificate-permissions> are given in the az keyvault set-policy documentation.

다음 단계Next steps