Rozwiązywanie problemów z zasadami dostępu usługi Azure Key Vault

Często zadawane pytania

Nie mogę wyświetlić listy lub pobrać wpisów tajnych/kluczy/certyfikatu. Widzę błąd "coś poszło nie tak"

Jeśli masz problem z wyświetlaniem listy/uzyskiwaniem/tworzeniem/uzyskiwaniem dostępu do wpisu tajnego, upewnij się, że masz zdefiniowane zasady dostępu, aby wykonać tę operację: Zasady dostępu usługi Key Vault

Jak mogę określić, jak i kiedy uzyskuje się dostęp do magazynów kluczy?

Po utworzeniu co najmniej jednego magazynu kluczy warto monitorować sposób i czas uzyskiwania dostępu do magazynów kluczy oraz przez kogo. Monitorowanie można wykonać, włączając rejestrowanie w usłudze Azure Key Vault, aby zapoznać się z przewodnikiem krok po kroku, aby włączyć rejestrowanie, przeczytaj więcej.

Jak monitorować dostępność magazynu, okresy opóźnienia usługi lub inne metryki wydajności magazynu kluczy?

Gdy zaczniesz skalować usługę, liczba żądań wysyłanych do magazynu kluczy wzrośnie. Takie zapotrzebowanie może zwiększyć opóźnienie żądań i w skrajnych przypadkach spowodować ograniczenie żądań, co obniży wydajność usługi. Możesz monitorować metryki wydajności magazynu kluczy i otrzymywać alerty dotyczące określonych progów, aby uzyskać szczegółowy przewodnik konfigurowania monitorowania, przeczytaj więcej.

Nie mogę zmodyfikować zasad dostępu, jak można je włączyć?

Użytkownik musi mieć wystarczające uprawnienia firmy Microsoft Entra, aby zmodyfikować zasady dostępu. W takim przypadku użytkownik musi mieć wyższą rolę współautora.

Widzę błąd "Nieznane zasady". Co to oznacza?

Istnieją dwa powody, dla których zasady dostępu mogą być widoczne w sekcji Nieznany:

• Poprzedni użytkownik miał dostęp, ale ten użytkownik już nie istnieje.
• Zasady dostępu zostały dodane za pomocą programu PowerShell przy użyciu identyfikatora objectid aplikacji zamiast jednostki usługi.

Jak mogę przypisać kontrolę dostępu na obiekt magazynu kluczy?

Należy unikać przypisywania ról dla poszczególnych kluczy, wpisów tajnych i certyfikatów. Wyjątki od ogólnych wskazówek:

Scenariusze, w których poszczególne wpisy tajne muszą być współużytkowane przez wiele aplikacji, na przykład jedna aplikacja musi uzyskiwać dostęp do danych z innej aplikacji

Jak mogę zapewnić uwierzytelnianie magazynu kluczy przy użyciu zasad kontroli dostępu?

Najprostszym sposobem uwierzytelniania aplikacji opartej na chmurze w usłudze Key Vault jest użycie tożsamości zarządzanej; Aby uzyskać szczegółowe informacje, zobacz Uwierzytelnianie w usłudze Azure Key Vault . Jeśli tworzysz aplikację lokalną, programujesz lokalnie lub w inny sposób nie możesz użyć tożsamości zarządzanej, możesz ręcznie zarejestrować jednostkę usługi i zapewnić dostęp do magazynu kluczy przy użyciu zasad kontroli dostępu. Zobacz Przypisywanie zasad kontroli dostępu.

Jak udzielić grupie usługi AD dostępu do magazynu kluczy?

Nadaj grupie usługi AD uprawnienia do magazynu kluczy przy użyciu polecenia interfejsu wiersza polecenia az keyvault set-policy platformy Azure lub polecenia cmdlet Set-AzKeyVaultAccessPolicy programu Azure PowerShell. Zobacz Przypisywanie zasad dostępu — interfejs wiersza polecenia i Przypisywanie zasad dostępu — PowerShell.

Aplikacja musi również mieć co najmniej jedną rolę zarządzania tożsamościami i dostępem (IAM) przypisaną do magazynu kluczy. W przeciwnym razie nie będzie można się zalogować i nie będzie można uzyskać wystarczających uprawnień dostępu do subskrypcji. Grupy firmy Microsoft z tożsamościami zarządzanymi mogą wymagać wielu godzin odświeżania tokenów i stać się skuteczne. Zobacz Ograniczenie używania tożsamości zarządzanych do autoryzacji

Jak można ponownie wdrożyć usługę Key Vault przy użyciu szablonu usługi ARM bez usuwania istniejących zasad dostępu?

Obecnie ponowne wdrożenie usługi Key Vault usuwa wszystkie zasady dostępu w usłudze Key Vault i zastępuje je zasadami dostępu w szablonie usługi ARM. Nie ma opcji przyrostowej dla zasad dostępu usługi Key Vault. Aby zachować zasady dostępu w usłudze Key Vault, musisz odczytać istniejące zasady dostępu w usłudze Key Vault i wypełnić szablon usługi ARM tymi zasadami, aby uniknąć przestojów dostępu.

Inną opcją, która może pomóc w tym scenariuszu, jest użycie kontroli dostępu opartej na rolach i ról platformy Azure jako alternatywy dla zasad dostępu. Dzięki kontroli dostępu opartej na rolach platformy Azure można ponownie wdrożyć magazyn kluczy bez ponownego określania zasad. Więcej informacji na ten temat można znaleźć tutaj.

Zalecane kroki rozwiązywania problemów dla następujących typów błędów

• HTTP 401: Żądanie nieuwierzytelnione — kroki rozwiązywania problemów
• HTTP 403: Niewystarczające uprawnienia — kroki rozwiązywania problemów
• HTTP 429: Zbyt wiele żądań — kroki rozwiązywania problemów
• Sprawdź, czy masz uprawnienie dostępu do magazynu kluczy: zobacz Przypisywanie zasad dostępu — interfejs wiersza polecenia, Przypisywanie zasad dostępu — Program PowerShell lub Przypisywanie zasad dostępu — Portal.
• Jeśli masz w kodzie problem z uwierzytelnianiem w magazynie kluczy, użyj zestawu SDK uwierzytelniania

Jakie są najlepsze rozwiązania, które należy zaimplementować, gdy magazyn kluczy jest ograniczany?

Postępuj zgodnie z najlepszymi rozwiązaniami opisanymi tutaj

Następne kroki

Dowiedz się, jak rozwiązywać problemy z błędami uwierzytelniania magazynu kluczy: Przewodnik rozwiązywania problemów z usługą Key Vault.