分配 Key Vault 访问策略

Key Vault 访问策略确定给定的安全主体(即用户、应用程序或用户组)是否可以对 Key Vault 机密密钥证书执行不同的操作。 可以使用 Azure 门户、Azure CLI(本文)或 Azure PowerShell 来分配访问策略。

Key Vault 最多支持 1024 个访问策略条目,每个条目可向特定安全主体授予一组不同的权限。 由于此限制,建议你尽可能将访问策略分配给用户组,而不是单个用户。 使用组来管理组织中多个人员的权限要轻松得多。 有关详细信息,请参阅使用 Azure Active Directory 组管理应用和资源访问

有关 Key Vault 访问控制的完整详细信息,请参阅 Azure Key Vault 安全性功能:标识和访问管理

若要详细了解如何使用 Azure CLI 在 Azure Active Directory 中创建组,请参阅 az ad group createaz ad group member add

配置 Azure CLI 并登录

  1. 若要在本地运行 Azure CLI 命令,请安装 Azure CLI

  2. 仅限本地 CLI:使用 az login 登录到 Azure:

    az cloud set -n AzureChinaCloud
    az login
    

    az login 命令会打开浏览器窗口来收集凭据(如果需要)。

获取对象 ID

确定要为其分配访问策略的应用程序、组或用户的对象 ID:

  • 应用程序和其他服务主体:请使用 az ad sp list 命令来检索服务主体。 请检查命令的输出,以确定要为其分配访问策略的安全主体的对象 ID。

    az ad sp list --show-mine
    
  • 组:请使用 az ad group list 命令,并通过 参数筛选结果:

    az ad group list --display-name <search-string>
    
  • 用户:请使用 az ad user show 命令,并在 参数中传递用户的电子邮件地址:

    az ad user show --id <email-address-of-user>
    

分配访问策略

使用 az keyvault set-policy 命令来分配所需的权限:

az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions <secret-permissions> --key-permissions <key-permissions> --certificate-permissions <certificate-permissions>

<object-id> 替换为安全主体的对象 ID。

为这些特定类型分配权限时,只需包括 --secret-permissions--key-permissions--certificate-permissions<secret-permissions> 文档中提供了 <secret-permissions><key-permissions><certificate-permissions> 的允许值。

后续步骤