Atribua uma política de acesso ao Cofre de Chaves utilizando o Azure PowerShellAssign a Key Vault access policy using Azure PowerShell

Uma política de acesso ao Cofre-Chave determina se um dado responsável de serviço, nomeadamente uma aplicação ou grupo de utilizadores, pode realizar diferentes operações em segredosdo Cofre chave, chavese certificados.A Key Vault access policy determines whether a given service principal, namely an application or user group, can perform different operations on Key Vault secrets, keys, and certificates. Pode atribuir políticas de acesso utilizando o portal Azure,o Azure CLIou a Azure PowerShell (este artigo).You can assign access policies using the Azure portal, the Azure CLI, or Azure PowerShell (this article).

O Key Vault suporta até 1024 entradas de política de acesso, com cada entrada a conceder um conjunto distinto de permissões para um principal de segurança específico.Key vault supports up to 1024 access policy entries, with each entry granting a distinct set of permissions to a particular security principal. Devido a esta limitação, recomendamos a atribuição de políticas de acesso a grupos de utilizadores, sempre que possível, em vez de utilizadores individuais.Because of this limitation, we recommend assigning access policies to groups of users, where possible, rather than individual users. A utilização de grupos torna muito mais fácil gerir permissões para várias pessoas na sua organização.Using groups makes it much easier to manage permissions for multiple people in your organization. Para obter mais informações, consulte Gerir a aplicação e o acesso a recursos utilizando grupos de Diretório Ativo AzureFor more information, see Manage app and resource access using Azure Active Directory groups

Para obter todos os detalhes sobre o controlo de acesso ao Cofre chave, consulte a segurança do Cofre da Chave Azure: Gestão de identidade e acesso.For full details on Key Vault access control, see Azure Key Vault security: Identity and access management.

Para obter mais informações sobre a criação de grupos no Azure Ative Directory utilizando a Azure PowerShell, consulte o New-AzureADGroup e o Add-AzADGroupMember.For more information on creating groups in Azure Active Directory using Azure PowerShell, see New-AzureADGroup and Add-AzADGroupMember.

Configurar PowerShell e iniciar seducaConfigure PowerShell and sign-in

  1. Para executar comandos localmente, instale a Azure PowerShell se ainda não o fez.To run commands locally, install Azure PowerShell if you haven't already.

    Para executar comandos diretamente na nuvem, utilize a Concha da Nuvem Azure.To run commands directly in the cloud, use the Azure Cloud Shell.

  2. Apenas powershell local:Local PowerShell only:

    1. Instale o módulo PowerShell do Diretório Ativo Azure.Install the Azure Active Directory PowerShell module.

    2. Inscreva-se em Azure:Sign in to Azure:

      Login-AzAccount
      

Adquira o ID do objetoAcquire the object ID

Determine o ID do objeto da aplicação, grupo ou utilizador ao qual pretende atribuir a política de acesso:Determine the object ID of the application, group, or user to which you want to assign the access policy:

  • Aplicações e outros principais de serviço: utilize o cmdlet Get-AzADServicePrincipal com o -SearchString parâmetro para filtrar os resultados para o nome do chefe de serviço pretendido:Applications and other service principals: use the Get-AzADServicePrincipal cmdlet with the -SearchString parameter to filter results to the name of the desired service principal:

    Get-AzADServicePrincipal -SearchString <search-string>
    
  • Grupos: utilize o cmdlet Get-AzADGroup com o -SearchString parâmetro para filtrar os resultados para o nome do grupo pretendido:Groups: use the Get-AzADGroup cmdlet with the -SearchString parameter to filter results to the name of the desired group:

    Get-AzADGroup -SearchString <search-string>
    

    Na saída, o ID do objeto está listado como Id .In the output, the object ID is listed as Id.

  • Utilizadores: utilize o cmdlet Get-AzADUser, passando o endereço de e-mail do utilizador para o -UserPrincipalName parâmetro.Users: use the Get-AzADUser cmdlet, passing the user's email address to the -UserPrincipalName parameter.

     Get-AzAdUser -UserPrincipalName <email-address-of-user>
    

    Na saída, o ID do objeto está listado como Id .In the output, the object ID is listed as Id.

Atribuir a política de acessoAssign the access policy

Utilize o cmdlet Set-AzKeyVaultAccessPolicy para atribuir a política de acesso:Use the Set-AzKeyVaultAccessPolicy cmdlet to assign the access policy:

Set-AzKeyVaultAccessPolicy -VaultName <key-vault-name> -ObjectId <Id> -PermissionsToSecrets <secrets-permissions> -PermissionsToKeys <keys-permissions> -PermissionsToCertificates <certificate-permissions    

Só é necessário incluir -PermissionsToSecrets , e ao atribuir -PermissionsToKeys -PermissionsToCertificates permissões a esses tipos específicos.You need only include -PermissionsToSecrets, -PermissionsToKeys, and -PermissionsToCertificates when assigning permissions to those particular types. Os valores admissíveis <secret-permissions> <key-permissions> para, e <certificate-permissions> são dados na documentação Set-AzKeyVaultAccessPolicy - Parâmetros.The allowable values for <secret-permissions>, <key-permissions>, and <certificate-permissions> are given in the Set-AzKeyVaultAccessPolicy - Parameters documentation.

Passos seguintesNext steps