证书访问控制
证书的访问控制由 Key Vault 托管,并且由包含这些证书的 Key Vault 提供。 在同一 Key Vault 中,证书的访问控制策略不同于密钥和机密的访问控制策略。 用户可以创建一个或多个保管库来保存证书,以维护方案相应的证书分段和管理。
在密钥保管库上的机密访问控制条目中可以按主体使用以下权限,这些权限对机密对象上允许的操作采取严密的镜像操作:
针对证书管理操作的权限
- get:获取最新版本的证书或任何版本的证书
- list:列出最新版本的证书或任何版本的证书
- update:更新证书
- create:创建 Key Vault 证书
- import:将证书材料导入到 Key Vault 证书
- delete:删除证书、策略及其所有版本
- recover:恢复已删除的证书
- backup:备份密钥保管库中的证书
- restore:将备份证书还原到密钥保管库
- managecontacts:管理 Key Vault 证书联系人
- manageissuers:管理 Key Vault 证书颁发机构/颁发者
- getissuers:获取证书的颁发机构/颁发者
- listissuers:列出证书的颁发机构/颁发者
- setissuers:创建或更新 Key Vault 证书的颁发机构/颁发者
- deleteissuers:删除 Key Vault 证书的颁发机构/颁发者
针对特权操作的权限
- purge:清除(永久删除)已删除的证书
有关详细信息,请参阅 Key Vault REST API 中的证书操作参考。 有关建立权限的信息,请参阅保管库 - 更新访问策略。
故障排除
由于缺少访问策略,可能会出现错误。 例如 Error type : Access denied or user is unauthorized to create certificate。要解决此错误,需要添加证书/创建权限。