Resolver problemas de políticas de acesso ao Azure Key Vault

Perguntas mais frequentes

Não consigo listar ou obter segredos/chaves/certificados. Estou vendo um erro "algo deu errado"

Se estiver a ter problemas com a listagem/obtenção/criação ou acesso a segredos, certifique-se de que tem a política de acesso definida para efetuar essa operação: Políticas de Acesso ao Cofre da Chave

Como posso identificar como e quando os cofres de chaves são acessados?

Depois de criar um ou mais cofres de chaves, você provavelmente desejará monitorar como e quando seus cofres de chaves são acessados e por quem. Você pode fazer o monitoramento habilitando o registro em log para o Cofre da Chave do Azure, para obter um guia passo a passo para habilitar o registro, leia mais.

Como posso monitorar a disponibilidade do cofre, os períodos de latência do serviço ou outras métricas de desempenho do cofre de chaves?

À medida que você começa a escalar seu serviço, o número de solicitações enviadas para o cofre de chaves aumentará. Essa demanda tem o potencial de aumentar a latência de suas solicitações e, em casos extremos, fazer com que suas solicitações sejam limitadas, o que degradará o desempenho do seu serviço. Você pode monitorar as principais métricas de desempenho do cofre e receber alertas sobre limites específicos, para obter um guia passo a passo para configurar o monitoramento, leia mais.

Não consigo modificar a política de acesso, como pode ser ativada?

O usuário precisa ter permissões suficientes do Microsoft Entra para modificar a política de acesso. Nesse caso, o usuário precisaria ter um papel de contribuidor maior.

Estou vendo o erro 'Política desconhecida'. Qual é o significado disto?

Há dois motivos pelos quais você pode ver uma política de acesso na seção Desconhecido:

• Um usuário anterior tinha acesso, mas esse usuário não existe mais.
• A política de acesso foi adicionada por meio do PowerShell, usando o objectid do aplicativo em vez da entidade de serviço.

Como posso atribuir controle de acesso por objeto do cofre de chaves?

A atribuição de funções em chaves, segredos e certificados individuais deve ser evitada. Exceções às orientações gerais:

Cenários em que segredos individuais devem ser compartilhados entre vários aplicativos, por exemplo, um aplicativo precisa acessar dados do outro aplicativo

Como posso fornecer autenticação do cofre de chaves usando a política de controle de acesso?

A maneira mais simples de autenticar um aplicativo baseado em nuvem no Cofre de Chaves é com uma identidade gerenciada; consulte Autenticar no Cofre da Chave do Azure para obter detalhes. Se você estiver criando um aplicativo local, fazendo desenvolvimento local ou não puder usar uma identidade gerenciada, poderá registrar uma entidade de serviço manualmente e fornecer acesso ao cofre de chaves usando uma política de controle de acesso. Consulte Atribuir uma política de controle de acesso.

Como posso conceder ao grupo AD acesso ao cofre de chaves?

Conceda permissões ao grupo do AD ao seu cofre de chaves usando o comando CLI az keyvault set-policy do Azure ou o cmdlet Set-AzKeyVaultAccessPolicy do Azure PowerShell. Consulte Atribuir uma política de acesso - CLI e Atribuir uma política de acesso - PowerShell.

A aplicação também precisa de, pelo menos, uma função de Gestão de Identidade e Acesso (IAM) atribuída ao cofre de chaves. Caso contrário, não poderá iniciar sessão e falhará com direitos insuficientes de acesso à subscrição. Os grupos do Microsoft Entra com Identidades Gerenciadas podem exigir muitas horas para atualizar tokens e entrar em vigor. Consulte Limitação do uso de identidades gerenciadas para autorização

Como posso reimplantar o Key Vault com o modelo ARM sem excluir as políticas de acesso existentes?

Atualmente, a reimplantação do Cofre da Chave exclui qualquer política de acesso no Cofre da Chave e as substitui pela política de acesso no modelo ARM. Não há nenhuma opção incremental para as políticas de acesso ao Cofre da Chave. Para preservar as políticas de acesso no Cofre da Chave, você precisa ler as políticas de acesso existentes no Cofre da Chave e preencher o modelo ARM com essas políticas para evitar interrupções de acesso.

Outra opção que pode ajudar nesse cenário é usar o RBAC do Azure e as funções como uma alternativa às políticas de acesso. Com o RBAC do Azure, você pode reimplantar o cofre de chaves sem especificar a política novamente. Pode ler mais sobre esta solução aqui.

Etapas recomendadas de solução de problemas para os seguintes tipos de erro

• HTTP 401: Solicitação não autenticada - Etapas de solução de problemas
• HTTP 403: Permissões insuficientes - Etapas de solução de problemas
• HTTP 429: Muitas solicitações - Etapas de solução de problemas
• Verifique se você excluiu a permissão de acesso ao cofre de chaves: consulte Atribuir uma política de acesso - CLI, Atribuir uma política de acesso - PowerShell ou Atribuir uma política de acesso - Portal.
• Se tiver problemas com a autenticação no cofre de chave, utilize o SDK de Autenticação

Quais são as práticas recomendadas que devo implementar quando o cofre de chaves está sendo limitado?

Siga as melhores práticas, documentadas aqui

Passos Seguintes

Saiba como solucionar erros de autenticação do cofre de chaves: Guia de solução de problemas do cofre de chaves.