证书访问控制

证书的访问控制由 Key Vault 托管,并且由包含这些证书的 Key Vault 提供。 在同一 Key Vault 中,证书的访问控制策略不同于密钥和机密的访问控制策略。 用户可以创建一个或多个保管库来保存证书,以维护方案相应的证书分段和管理。

在密钥保管库上的机密访问控制条目中可以按主体使用以下权限,这些权限对机密对象上允许的操作采取严密的镜像操作:

  • 针对证书管理操作的权限

    • get:获取最新版本的证书或任何版本的证书
    • list:列出最新版本的证书或任何版本的证书
    • update:更新证书
    • create:创建 Key Vault 证书
    • import:将证书材料导入到 Key Vault 证书
    • delete:删除证书、策略及其所有版本
    • recover:恢复已删除的证书
    • backup:备份密钥保管库中的证书
    • restore:将备份证书还原到密钥保管库
    • managecontacts:管理 Key Vault 证书联系人
    • manageissuers:管理 Key Vault 证书颁发机构/颁发者
    • getissuers:获取证书的颁发机构/颁发者
    • listissuers:列出证书的颁发机构/颁发者
    • setissuers:创建或更新 Key Vault 证书的颁发机构/颁发者
    • deleteissuers:删除 Key Vault 证书的颁发机构/颁发者
  • 针对特权操作的权限

    • purge:清除(永久删除)已删除的证书

有关详细信息,请参阅 Key Vault REST API 中的证书操作参考。 有关建立权限的信息,请参阅保管库 - 更新访问策略

故障排除

由于缺少访问策略,可能会出现错误。 例如 Error type : Access denied or user is unauthorized to create certificate。要解决此错误,需要添加证书/创建权限。

后续步骤