Atribuir uma política de acesso ao Cofre de ChavesAssign a Key Vault access policy

Uma política de acesso ao Cofre-Chave determina se um dado responsável de serviço, nomeadamente uma aplicação ou grupo de utilizadores, pode realizar diferentes operações em segredosdo Cofre chave, chavese certificados.A Key Vault access policy determines whether a given service principal, namely an application or user group, can perform different operations on Key Vault secrets, keys, and certificates. Pode atribuir políticas de acesso utilizando o portal Azure,o Azure CLI (este artigo) ou Azure PowerShell.You can assign access policies using the Azure portal, the Azure CLI (this article), or Azure PowerShell.

O Key Vault suporta até 1024 entradas de política de acesso, com cada entrada a conceder um conjunto distinto de permissões para um principal de segurança específico.Key vault supports up to 1024 access policy entries, with each entry granting a distinct set of permissions to a particular security principal. Devido a esta limitação, recomendamos a atribuição de políticas de acesso a grupos de utilizadores, sempre que possível, em vez de utilizadores individuais.Because of this limitation, we recommend assigning access policies to groups of users, where possible, rather than individual users. A utilização de grupos torna muito mais fácil gerir permissões para várias pessoas na sua organização.Using groups makes it much easier to manage permissions for multiple people in your organization. Para obter mais informações, consulte Gerir a aplicação e o acesso a recursos utilizando grupos de Diretório Ativo AzureFor more information, see Manage app and resource access using Azure Active Directory groups

Para obter todos os detalhes sobre o controlo de acesso ao Cofre chave, consulte a segurança do Cofre da Chave Azure: Gestão de identidade e acesso.For full details on Key Vault access control, see Azure Key Vault security: Identity and access management.

Para obter mais informações sobre a criação de grupos no Azure Ative Directory utilizando o Azure CLI, consulte o grupo az ad create e a az ad group add.For more information on creating groups in Azure Active Directory using the Azure CLI, see az ad group create and az ad group member add.

Configure o CLI Azure e inscreva-seConfigure the Azure CLI and sign in

  1. Para executar os comandos Azure CLI localmente, instale o Azure CLI.To run Azure CLI commands locally, install the Azure CLI.

    Para executar comandos diretamente na nuvem, utilize a Concha da Nuvem Azure.To run commands directly in the cloud, use the Azure Cloud Shell.

  2. Apenas CLI local: inscreva-se no Azure az login utilizando:Local CLI only: sign in to Azure using az login:

    az login
    

    O az login comando abre uma janela do navegador para recolher credenciais, se necessário.The az login command opens a browser window to gather credentials if needed.

Adquira o ID do objetoAcquire the object ID

Determine o ID do objeto da aplicação, grupo ou utilizador ao qual pretende atribuir a política de acesso:Determine the object ID of the application, group, or user to which you want to assign the access policy:

  • Aplicações e outros principais serviços: utilize o comando da lista ad sp az para recuperar os seus principais serviços.Applications and other service principals: use the az ad sp list command to retrieve your service principals. Examine a saída do comando para determinar a identificação do objeto do principal de segurança ao qual pretende atribuir a política de acesso.Examine the output of the command to determine the object ID of the security principal to which you want to assign the access policy.

    az ad sp list --show-mine
    
  • Grupos: utilize o comando da lista de anúncios az, filtrando os resultados com o --display-name parâmetro:Groups: use the az ad group list command, filtering the results with the --display-name parameter:

    az ad group list --display-name <search-string>
    
  • Utilizadores: utilize o comando de exibição de anúncios az, passando o endereço de e-mail do utilizador no --id parâmetro:Users: use the az ad user show command, passing the user's email address in the --id parameter:

    az ad user show --id <email-address-of-user>
    

Atribuir a política de acessoAssign the access policy

Utilize o comando de definição de chave-tevault az para atribuir as permissões desejadas:Use the az keyvault set-policy command to assign the desired permissions:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

<object-id>Substitua-o pelo ID do objeto do seu principal de serviço.Replace <object-id> with the object ID of your service principal.

Só é necessário incluir --secret-permissions , e ao atribuir --key-permissions --certificate-permissions permissões a esses tipos específicos.You need only include --secret-permissions, --key-permissions, and --certificate-permissions when assigning permissions to those particular types. Os valores admissíveis para <secret-permissions> <key-permissions> , e são <certificate-permissions> dados na documentação de definição de keyvault az.The allowable values for <secret-permissions>, <key-permissions>, and <certificate-permissions> are given in the az keyvault set-policy documentation.

Passos seguintesNext steps