Compartilhar via

排查 Azure 密钥保管库访问策略问题

常见问题

我无法列出或获取机密/密钥/证书。 我看到“出现问题”的错误

如果在列出、获取、创建或访问机密时遇到问题,请确保已分配适当的 Azure RBAC 角色。 请参阅 Azure RBAC for Key Vault。 如果您使用旧版访问策略模型,请参阅 Key Vault Access Policies

如何确定如何以及何时访问密钥保管库?

创建一个或多个密钥保管库后,可能需要监视密钥保管库的访问方式和时间以及访问者。 可以通过启用 Azure Key Vault 的日志记录来执行监视。有关启用日志记录的分步指南,请了解更多

如何监视密钥保管库的可用性、服务延迟时间或其他性能指标?

当您开始扩展服务规模时,发送到密钥保管库的请求数将会增加。 这种需求可能会增加请求的延迟,在极端情况下,会导致请求受到限制,这会降低服务的性能。 您可以监控密钥保管库的性能指标,并在达特定阈值时发出警报。欲获取有关配置监控的分步指南,请阅读更多

我无法修改访问策略,怎么才能启用它?

用户需要有足够的 Microsoft Entra 权限才能修改访问策略。 在这种情况下,用户需要具有更高的参与者角色。

我看到“未知策略”错误。 那是什么意思?

在“未知”部分中,可能会看到访问策略的原因有两个:

  • 以前的用户曾访问,但该用户已不再存在。
  • 访问策略是通过 PowerShell 添加的,使用应用程序对象ID而不是服务主体。

如何为每个密钥保管库对象分配访问控制?

应避免在单个密钥、机密和证书上分配角色。 常规指南的例外情况:

在多个应用程序之间需要共享个别秘密的场景,例如,一个应用程序需要访问另一个应用程序的数据。

如何通过访问控制策略为密钥库进行身份验证?

对基于云的应用程序进行 Key Vault 身份验证的最简单方法是使用托管标识;有关详细信息,请参阅 Authenticate to Azure Key Vault。 如果您正在创建本地应用程序、进行本地开发或因其他原因无法使用托管标识,您可以手动注册一个服务主体,并使用 Azure RBAC 向您的密钥保管库授予访问权限。 请参阅 Azure RBAC for Key Vault 数据平面操作

如何为 AD 组赋予对密钥库的访问权限?

将 Azure RBAC 与 Azure CLI az role assignment create 命令或 Azure PowerShell New-AzRoleAssignment cmdlet 配合使用,向 AD 组授予对 Azure Key Vault 的权限。 请参阅 Azure RBAC for Key Vault 数据平面操作

注释

如果使用旧access策略,可以使用 Azure CLI az keyvault set-policy 命令或 Azure PowerShell Set-AzKeyVaultAccessPolicy cmdlet。 但是,Azure RBAC 是推荐的授权模型。 请参阅 分配访问策略 - CLI分配访问策略 - PowerShell

应用程序还需要至少一个身份和访问管理(IAM)角色应用于密钥保管库。 否则,将无法登录,并且由于权限不足,无法访问订阅。 Microsoft具有托管标识的 Entra 组可能需要几个小时才能刷新令牌并生效。 请参阅 使用托管标识进行授权的限制

如何使用 ARM 模板重新部署Key Vault而不删除现有的access策略?

目前,重新部署密钥保管库会删除其中的任何访问策略,并将其替换为 ARM 模板中的访问策略。 Key Vault 访问策略没有增量选项。 若要在Key Vault中保留access策略,需要读取Key Vault中的现有access策略,并使用这些策略填充 ARM 模板以避免任何access中断。

另一种适用于这种情况的选项是使用 Azure RBAC 和角色作为访问策略的替代方法。 使用 Azure RBAC,无需再次指定策略即可重新部署key vault。 有关详细信息,请参阅使用 Azure 基于角色的访问控制来提供对 Key Vault 密钥、证书和机密的访问

Key Vault受到限制时,我应该实施哪些最佳实践?

遵循 有关限制应用以响应服务限制的最佳做法

后续步骤

了解如何排查key vault身份验证错误:Key Vault故障排除指南

  • Last updated on